O botnet utilizava aplicações Android para roubar os dados bancários e bloquear os equipamentos de utilizadores da plataforma Google
c.i.:
A ESET descobriu e desactivou uma botnet que utilizava aplicações Android para se apoderar das credenciais bancárias das vítimas e para bloquear os equipamentos.
No início de Fevereiro, algumas aplicações maliciosas conseguiram contornar os mecanismos de protecção da Google e apareceram na loja Google Play a 4 de Fevereiro. Essas apps que se faziam passar por aplicações meteorológicas não tinham outro intuito, senão apoderarem-se dos dados bancários dos utilizadores Android.
Dois dias depois, foram detetadas e reportadas pela ESET, tendo sido eliminadas de imediato. Durante o período em que estiveram activas, foram instaladas em cerca de 5000 dispositivos.
Estas aplicações maliciosas faziam parte de uma botnet e enviavam para o servidor de C&C (sigla para “Comando & Controlo”) todas as informações que conseguiam reunir.
Agora – e após uma análise minuciosa -, os investigadores da ESET concluíram que as aplicações Android e o servidor de C&C foram desenvolvidos com o mesmo código fonte que foi disponibilizado publicamente na Internet em Dezembro de 2016.
Este código, que serviu de base para estas ameaças, e que inclusivamente disponibilizava um painel de administração na web para que o criminoso pudesse controlar todas as acções, estava disponível em fóruns com origem na Rússia desde finais do ano passado.
Uma análise ao servidor C&C, que estava activo desde 2 de fevereiro de 2017, revelou uma extensa lista de vítimas. No dia 23 de fevereiro, quando o servidor de comando e controlo foi desactivado pela empresa de alojamento, após o alerta da ESET, a botnet já somava 2810 vítimas de 48 países diferentes.
De acordo com Lukáš Štefanko, investigador da ESET, “o fácil acesso às ferramentas que permitem criar malware para o sistema operativo Android faz com que o número de ameaças aumente significativamente. Por este motivo, os utilizadores Android devem leva a sério a prevenção”.
