O Faketoken Trojan já existe há bastante tempo, e foi atualizado ao longo dos anos. Nossos especialistas batizaram a atual versão de “Faketoken.q” e no momento ele sabe diversos truques.
A partir do momento que entra em um smartphone (julgando pelo ícone do malware, o Faketoken entra no smartphone por meio de mensagens de SMS para baixar alguma foto) e instalar os módulos necessários, o Trojan esconde seu atalho e inicia suas atividades em segundo plano.
Primeiro, o Trojan está interessado nas ligações do usuário. Logo que uma é iniciada, a gravação começa. Quando a chamada termina, o Faketoken encaminha o arquivo de áudio para o servidor do criminoso. Ele também verifica quais apps o dono do smartphone usa.
Quando o Faketoken detecta o lançamento de um aplicativo cuja interface consegue imitar, ele a sobrepõe imediatamente. Para isso, utiliza as funções padrões do Android que permitem a exibição de telas sobre os outros apps. Diversos apps legítimos, como messengers e gestores de abas usam essa função.
A janela sobreposta utiliza a mesma cor da interface do aplicativo de verdade. Nessa janela, o Trojan faz o usuário inserir seu número de cartão de crédito, incluindo o código de verificação.
Na verdade, o Faketoken.q segue uma variedade gigantesca de apps que possui uma coisa em comum: nesses, uma requisição de inserção de dados de pagamento não parecem coisa de outro mundo. Entre os aplicativos atacados estão diversos bancários: Android Pay, o Google Play Store, reserva de voos e hotéis e pagamento de tickets de estacionamento – bem como para reservar táxis.
No momento do roubo do dinheiro do usuário, o Faketoken ainda tem mais subterfúgio: intercepta as mensagens SMS, escondendo-as do usuário. O vírus as encaminha para o servidor do criminoso, das quais senhas de confirmação de transação de uso único são extraídas
A julgar pelo pequeno número de ataques registrados e os artefatos de UI, diríamos que os pesquisadores de nosso laboratório colocaram as mãos em uma versão de teste do Trojan, não a final.
Não podemos subestimar os criadores assíduos do Faketoken. Muito provavelmente irão melhorar o Trojan, e uma onda de ataques pode resultar da versão “comercial” do vírus em algum momento.
No momento, o Trojan tem por foco a Rússia, mas não seria a primeira vez que cibercriminosos roubam ideias uns dos outros, por isso, não há de demorar para que outros adotem o mesmo truque em outros países. Diversos habitantes de cidades utilizam aplicativos para chamar táxis com frequência, de modo que o truque representa uma excelente oportunidade aos criadores de malware.
Abaixo temos diversas dicas para você se proteger do Faketoken e Trojans similares que podem roubar informações de cartão de crédito e interceptar mensagens de SMS com senhas de uso único para a confirmação de pagamentos.
Para isso, é imprescindível acessar as configurações do Android e proíba a instalação de aplicativos de fontes desconhecidas. Para bloquear, vá em Configurar -> Segurança e desmarque Fontes Desconhecidas.
Sempre preste atenção nas permissões de acesso que um aplicativo demanda durante sua instalação, mesmo que tenha o baixado da Google Play (podem existir Trojans nas lojas de oficiais).
Também é uma boa ideia proteger seu smartphone instalando um antivírus, capaz de encontrar infecções em aplicativos escondidos. Por exemplo, você pode usar nosso Kaspersky Total Security para Android.
Nenhum comentário:
Postar um comentário