Nova e sofisticada praga Android para furto bancário

A Fortinet detectou como Android/Banker.GT!Tr.spy uma nova família de malware projetado para roubar informações bancárias dos usuários de 15 diferentes aplicações bancárias móveis para os Bancos alemães. Além do mais, os autores do malware podem controlar a lista de aplicativos direcionados a partir do servidor "C&C" (Comando-e-Controle), o que significa que eles poderiam facilmente atingir mais deles - e até outros Bancos em outros países.
O malware se disfarça como um aplicativo de e-mail e até mesmo exibe um ícone correspondente na tela inicial. No entanto, semelhante a algumas outras ameaças móveis, ele engana os usuários a fornecê-lo com privilégios administrativos. Neste ponto, o ícone do Trojan é escondido do "Launcher", embora o software malicioso permaneça ativo em segundo-plano.
O programa solicita permissões para ler o estado do telefone, contatos, obter tarefas, gravar configurações, chamar diretamente os números de telefone, ler/escrever/enviar/receber mensagens SMS, acesso e estado de mudança de rede e muito mais.
Após a instalação, o malware gera três serviços que serão executados em segundo plano: GPService2, FDService e AdminRightsService .
GPService2: destinado a monitorar todos os processos em execução no dispositivo, bem como para atacar as aplicações bancárias acima mencionadas, exibindo uma sobreposição de tela personalizado que assemelha-se a janela do software legítimo. O malware inclui uma tela de login personalizado diferente para cada banco. O serviço de monitoramento também é responsável por impedir alguns aplicativos móveis anti-vírus e utilitários de serviços, impedindo-os de lançar. Além disso, o serviço inclui uma função para comunicar com o servidor C & C para solicitar e receber a carga adequada para cada banco-alvo.
FDService: monitor de todos os processos em execução no dispositivo, mas o autor também projetou para segmentar aplicativos específicos, o que dizem os pesquisadores, pode incluir aplicativos populares de mídia social, além do software bancário. O serviço também pode exibir um falso Google Play para induzir os usuários a inserir suas informações de cartão de crédito.
AdminRightsService: escalar privilégios administrativos quando o malware é executado pela primeira vez, se tornando mais difícil de remover.
O malware suporta comandos como:
interceptar mensagens SMS recebidas;
enviar uma mensagem de texto;
enviar um pedido USSD;
enviar mensagens SMS para todos os números da lista de contatos;
mudar o endereço do servidor C&C;
adicionar/remover um aplicativo da lista de exclusão;
download de um atualizada lista de aplicativos direcionados;
exibir um template-dialog utilizando Webview e
enviar as informações recolhidas a partir do dispositivo para o servidor C&C.
O malware se comunica com o servidor C&C via HTTPS. Além dos dados bancários roubados, ele envia informações como IMEI do dispositivo, o código do país ISO, versão de compilação Android, modelo do dispositivo, e número de telefone. Ele também recolhe uma lista de aplicativos instalados e envia para o servidor.
Para remover o Trojan, os usuários devem:
desativar seus direitos de administrador em Settings -> Segurança -> Administradores de dispositivos -> Administração de Dispositivos -> Desativar.
Desinstalar o programa malicioso com a ajuda de ADB (Debug Bridge Android), utilizando o comando 'adb uninstall [nome do pacote] '.