Topo

Cuidado: app para Android fingia ser lanterna para roubar senhas de banco

App que dizia servir como lanterna tinha intenção maliciosa - Reprodução
App que dizia servir como lanterna tinha intenção maliciosa Imagem: Reprodução

Do UOL, em São Paulo

20/04/2017 19h13

Um aplicativo presente na Google Play que dizia servir como lanterna em seu celular, na verdade, roubava as senhas dos usuários, inclusive bancárias. O golpe foi descoberto pela empresa de segurança digital ESET, que identificou um vírus do tipo trojan junto ao app.

O golpe é mais robusto porque foge um pouco do normal de malwares bancário por se ajustar dinamicamente a diferentes telas. O aplicativo, chamado Flashlight LED Widget, oferecia a função principal de lanterna como prometido, mas carregava junto uma ameaça controlada remotamente e recheada de funções adicionais que visavam roubar dados bancários.

O vírus era capaz de exibir telas falsas que imitam aplicativos legítimos, interceptar mensagens SMS e exibir falsas notificações para ignorar a dupla autenticação. O golpe afeta todas as versões do Android e, por sua natureza dinâmica, pode não haver limites de apps infectados.

A empresa alerta que ao menos entre mil e 5 mil usuários foram afetados pelo golpe. O aplicativo apareceu na Google Play no dia 30 de março e permaneceu até ser excluído após denúncia da própria ESET em 10 de abril.

Como era o golpe

O Flashlight LED Widget foi bem sucedido em seu golpe por, após ser instalado e executado, pedir direitos de administrador do dispositivo – os usuários com Android 6.0 e posteriores tinham, ainda, que permitir manualmente o acesso de uso e sobreposição com relação a outros apps. O app então ocultava seu ícone, aparecendo no aparelho apenas como um widget de fato.

O trojan ainda era capaz de registrar o smartphone infectado no servidor do hacker, em que guardava dados como informações do celular, lista de apps instalados e até uma foto do usuário tirada com a câmera frontal.

A parte curiosa é que se as informações apontassem que o usuário vive na Rússia, Ucrânia ou Bielorrúsia, o ataque era paralisado, provavelmente para evitar problemas nos países dos hackers.

Para roubar senhas, a atividade legítima do usuário era encoberta por uma tela falsa provocada pelo app, que solicita detalhes do cartão de crédito da vítima ou informações bancárias. Existiam telas falsas programadas tanto para mobile banking como para Facebook, WhatsApp, Instagram e a própria Google Play.

Era até possível o bloqueio do celular com uma tela falsa semelhante a uma atualização enquanto os hackers executavam o ataque. Assim, ocultavam sua atividade. É uma variação de um ataque que ocorreu no início deste ano, em que as vítimas tinham o celular bloqueado e sofriam com uma extorsão de criminosos para poder voltar a usar o smartphone.

Desinstalar o app é mais complicado

Se você baixou um app de lanterna para seu celular Android recentemente, é bom verificar se não é o mesmo. Ele pode ser encontrado em Configurações > Gerenciador de Aplicações/Aplicativos > Flashlight Widget.

O trojan, contudo, tenta evitar a desinstalação normal do app, evitando que as vítimas desativem o administrador do dispositivo ativo, o que é necessário para remover o aplicativo. Ao tentar desativar os direitos, a tela pop-up não desaparece até que você mude de ideia e clique em “ativar” novamente. Nesse caso, o aplicativo pode ser desinstalado reiniciando o dispositivo no modo de segurança, o que permitirá seguir essas duas etapas para remover o aplicativo.