Uma aplicação Trojan recentemente descoberta rouba criptomoedas e informações bancárias, mas vai um passo mais longe para facilitar os ataques de engenharia social. Se tem um smartphone Android, tenha atenção aos contactos!

Dispositivos Android no alvo dos criminosos
Atualmente, as chamadas de SPAM são de tal ordem, que as pessoas já nem sabem mais o que fazer. Umas oferecem trabalho bem remunerado, outras querem conversas mais íntimas no WhatsApp e há depois as chamadas para esquemas e burlas. O que se tem feito é criar listas de SPAM para bloquear ou nem atender esses números.
Ora, é aqui que entra esta nova peça de malware para Android. Este novo método parece ter sido concebido em torno desta repulsa instintiva. Isto é, são injetados contactos falsos no telefone para fazer com que as chamadas de SPAM e de burla pareçam legítimas. É brilhante, da forma maléfica que só os burlões conseguem ser.
Esta é uma nova variação do conhecido malware Crocodilus, que tem como principal função assumir o controlo de um telefone Android para encontrar e roubar informações de carteiras criptográficas. Mas o novo comportamento, do Trojan descoberto há algum tempo pela Threat Fabric, é particularmente interessante.
De acordo com o relatório, o novo comportamento do malware cria entradas falsas na lista de contactos do utilizador. A ideia é inteligente: em vez de ver um número desconhecido, o utilizador vê um nome como “Bank Support”, e o objetivo é deixá-lo à vontade para que fique mais vulnerável a ataques de engenharia social.

Cuidado com o seu novo contacto, o Bank Support
As principais funções do Crocodilus parecem ainda estar focadas no roubo de criptomoedas e informações bancárias, com anúncios maliciosos no Facebook focados em utilizadores na Turquia, mas expandindo-se para operações maiores na Europa, América do Sul e Estados Unidos.
O componente de engenharia social deste malware pode parecer secundário… mas tem lógica. Uma vez que o Trojan esteja instalado no telemóvel de alguém e se identifiquem contas bancárias ou carteiras de criptomoedas vulneráveis, faz sentido recorrer a uma equipa especializada em engenharia social para tentar extrair ainda mais dados ou valores.
Até agora, o malware Crocodilus só foi observado no Android, e só foi visto em forma de entrega através de instalações não seguras de “sideload”. Mas falsificar os dados de contacto do utilizador - ao contrário de falsificar a informação do identificador de chamadas - é um novo meio de ataque.
Tenha em mente este vetor de ataque. Não há razão para que as mesmas técnicas não possam ser utilizadas para, por exemplo, um e-mail de phishing através de contactos falsos no Gmail ou Outlook. E, independentemente do sistema operativo que estiver a utilizar, não descarregue aplicações a partir de anúncios duvidosos.