Recentemente, pesquisadores da Cyfirma reportaram um novo trojan focado no roubo de dados bancários, o BankBot-YNRK. A ameaça tem como alvo dispositivos que rodem Android 13, ou versões anteriores, e explora uma vulnerabilidade nos recursos de acessibilidade desses sistemas operacionais.
Por meio da falha, os atacantes burlam a necessidade de obter permissões, garantindo acesso irrestrito a dados sensíveis dos usuários.
Embora pareça simples, o código malicioso do trojan revela mecanismos elaborados em sua operação. Por exemplo, uma das primeiras atividades após instalação é a sondagem do ambiente que ele está sendo executado. Essa etapa busca esclarecer se o aplicativo está em um dispositivo real, ou emulado, e costuma ser aplicada para evadir recursos de detecção.
Adiante, o malware faz outra verificação, desta vez buscando pelo modelo específico e sua respectiva fabricante. Durante essa checagem, há ainda funções específicas para identificar dispositivos da Oppo, Samsung e Google a partir de uma lista predefinida. Segundo o relatório, essa etapa serve para permitir a personalização automática do código malicioso, que se adapta ao ambiente afetado e implementa recursos para um ataque mais efetivo.
Trojan bancário de Android é persistente e silencioso
Assim que todos os detalhes do dispositivo infectado são catalogados, o trojan inicia um processo de camuflagem. Nessa etapa, as notificações de diversos aplicativos são desabilitadas, e as configurações de som são silenciadas.
Em paralelo, o código malicioso do BankBot-YNRK também modifica o agendador de tarefas do Android, tecnicamente chamado de “JobScheduler”, para garantir sua persistência. Assim, ele é sempre inicializado junto do sistema operacional, com direito constante a uma conexão de internet.
Todas essas medidas buscam camuflar a execução remota de atividades, gerenciadas a partir de um centro de comando e controle (C2). Nele, os cibercriminosos podem solicitar inúmeras funções do dispositivo infectado: simular cliques, instalar outros aplicativos, exfiltrar dados pessoais e muito mais.
Justamente, é por meio desse centro de comando e controle que os criminosos conseguem explorar a falha nos recursos de acessibilidade do Android 13. Para isso basta que o comando “OPEN_ACCESSIBILITY” seja enviado ao dispositivo, forçando o redirecionamento do usuário até a respectiva tela de configurações. Lá, o malware solicita as permissões, que garantem privilégios administrativos quando aceitas.
Veja outras capacidades remotas do BankBot-YNRK:
- Gerenciamento de aplicativos: instalação e desinstalação de APKs, atualização e abertura de apps.
- Interação com o dispositivo: desbloqueio de tela, navegação (home, voltar, recentes, notificações), controle da tela e simulação de toques, deslizes e gestos.
- Exfiltração de dados: coleta de contatos, mensagens SMS, aplicativos instalados, status e localização do dispositivo.
- Manipulação de comunicações: encaminhamento e cancelamento de chamadas, envio de SMS.
- Mídia e interface: captura de fotos, ocultação de janelas flutuantes e inserção de texto em campos de entrada.
Gerenciamento de arquivos: download, execução e cancelamento de rotinas de transferência.
Risco a carteiras digitais e criptomoedas
Por outro lado, o que destaca o BankBot-YNRK como um trojan financeiro é a sua capacidade de atacar carteiras de criptomoedas. Por meio dos privilégios obtidos pela falha de acessibilidade, o código malicioso consegue abrir aplicativos de carteiras digitais periodicamente, capturando qualquer informação sensível que apareça na tela. Além disso, ele também explora transações recentes e tenta obter as senhas-em-frase – que permitem efetivamente roubar a carteira.
Nesse ponto, a última linha de proteção são as travas biométricas, como as digitais. Como não consegue interagir com ela, o código malicioso é configurado para evitar e minimizar interações que exijam esse tipo de segurança. No entanto, caso o usuário não tenha configurado esse recurso, os criminosos poderiam realizar transações não autorizadas com facilidade.
Como se proteger do BankBot-YNRK e outros trojans bancários
Em sistemas operacionais Android, a primeira linha de defesa contra ameaças é não instalar aplicativos a partir de fontes desconhecidas – em outras palavras, os popularmente conhecidos “APKs”. Sem o sistema de verificação inicial da Play Store, o usuário que se aventurar com instalações arriscadas ficam a mercê de análises de segurança apenas após iniciar o aplicativo.
Contudo, o BankBot-YNRK, assim como muitas outras ameaças do tipo, possui sistemas elaborados para burlar essas medidas de segurança. Um exemplo disso é o fato dele se camuflar como um aplicativo legítimo do governo indiano e, assim, passar despercebido entre usuários ou análises automatizadas.
Ele aparece nestes APKs:
- com.westpacb4a.payqingynrk1b4a
- com.westpacf78.payqingynrk1f78
- com.westpac91a.payqingynrk191a
Quer acompanhar mais conteúdos sobre segurança digital? Siga o TecMundo nas redes sociais e não perca nenhuma novidade. Aproveite também para se inscrever em nossa newsletter e no canal do YouTube para receber as últimas notícias sobre tecnologia e cibersegurança.
