Malware Android ‘Escobar’ rouba seus códigos 2FA – e suppose seu telefone

março 14, 2022março 14, 2022 dmb

[ad_1]

Compartilhar no WhatsApp
Compartilhar no Telegram

Um Trojan bancário Android chamado “Escobar” se disfarça como um aplicativo antivírus da McAfee e rouba códigos únicos do Google Authenticator, mais uma vez demonstrando por que você realmente não deseja instalar aplicativos de fora da loja oficial do Google Play.

O aplicativo também pode roubar mensagens de texto SMS e arquivos de mídia, fazer chamadas telefônicas, rastrear sua localização, usar a câmera do telefone, desinstalar aplicativos, injetar novos URLs em navegadores da Internet e, o mais devastador de tudo, usar a função de desktop remoto VNC para assumir um telefone.

Esse último recurso significa que os bandidos que executam este aplicativo podem invadir suas contas bancárias online e outros serviços online, como contas de electronic mail e mídia social, sem qualquer assistência sua.

Como se proteger do malware Escobar

Para se proteger contra o Escobar e Trojans bancários Android semelhantes, eis o que você precisa fazer.

Instale e use um dos melhores aplicativos antivírus para Android
Não instale aplicativos de fora da Google Play Retailer. O Google Play não é perfeito, mas outras lojas de aplicativos são piores
Use o método de autenticação de dois fatores (2FA) mais distinctiveness que cada conta oferece. Se você puder usar uma chave de segurança USB em uma conta, use-a
Instale e use um aplicativo de um dos melhores gerenciadores de senhas, que pode dizer a diferença entre uma tela de login actual e uma falsa
Leia as permissões que cada aplicativo solicita antes de instalá-lo
Cuidado com o consumo de bateria ou dados excepcionalmente alto em seu telefone
Verifique se o Google Play Offer protection to está ativado
Instale e configure alguns aplicativos de autenticação alternativos, como Authy ou Microsoft Authenticator

Nenhum hipopótamo de cocaína Escobar incluído

O caçador de insects MalwareHunterTeam localizou o aplicativo falso da McAfee algumas semanas atrás e notou que o nome do pacote Android generation “com.escobar.pablo”, obviamente em homenagem ao traficante colombiano que foi morto em 1993 e cujos animais do zoológico escaparam para a natureza.

O aplicativo foi baixado da rede de entrega de conteúdo Discord CDN, que se tornou um grande canal para malware.

Possível interessante, muito baixo detectado “McAfee9412.apk”: a9d1561ed0d23a5473d68069337e2f8e7862f7b72b74251eb63ccc883ba9459fFrom: https://cdn.discordapp[.]com/attachments/900818589068689461/948690034867986462/McAfee9412.apk”com.escobar.pablo”😂 percent.twitter.com/QR89LV4jat3 de março de 2022

Ver mais

Pesquisadores da empresa de inteligência de ameaças Cyble se apossou do aplicativo malicioso e rapidamente viu que generation uma evolução do Trojan bancário Aberebot, detectado pela primeira vez em meados de 2021, que Cyble observou já ter “alvo clientes de mais de 140 bancos e instituições financeiras em 18 países”.

Mas esta nova variante tinha alguns novos truques.

“O Cyble Analysis Labs identificou novos recursos nesta variante do Aberebot”, escreveram os pesquisadores, “como roubar dados do Google Authenticator e assumir o controle de telas de dispositivos comprometidos usando VNC, and many others”.

O que fazer se você acha que foi infectado

Se você suspeitar que seu dispositivo foi infectado por um Trojan bancário como o Escobar, a Cyble recomenda algumas medidas drásticas.

Faça backup de seus arquivos de mídia, mas NÃO de seus aplicativos
Desligue seus dados móveis e Wi-Fi
Remova seu cartão SIM
Redefinir o telefone de fábrica
Use sua conta do Google para restaurar o máximo possível de seus dados pessoais
Verifique seu saldo bancário em busca de qualquer atividade suspeita e denuncie ao seu banco se encontrar alguma

Malware para aluguel

Tanto Cyble como Computador apitandoque anteriormente relatou esta história, viu que em 14 de fevereiro, um desenvolvedor de malware de língua inglesa usando o identificador “Sua Excelência” postou uma oferta em um fórum felony em russo para “alugar” uma versão beta do que foi chamado ” Escobar” por US$ 3.000 por mês.

Os “locatários” ficariam encarregados de empacotar e distribuir o malware. Parece que pelo menos um cliente aceitou a oferta de Sua Excelência e colocou o aplicativo falso da McAfee no Discord CDN. (Aqui está nossa análise do verdadeiro aplicativo antivírus para Android da McAfee.)

Como muitos Trojans bancários, o Escobar rouba nomes de usuário e senhas colocando sobreposições de tela semelhantes em cima de aplicativos bancários legítimos.

Portanto, se você tiver uma conta do Financial institution of The us, por exemplo, um Trojan bancário aguardará até você iniciar o aplicativo do Financial institution of The us para Android e, em seguida, sobreporá sua própria tela que se parece exatamente com a tela de login do Financial institution of The us.

Quando você digita seu nome de usuário e senha, na verdade você os está digitando no Trojan bancário, que os envia imediatamente para seu servidor remoto de comando e controle. No entanto, bons gerenciadores de senhas não reconhecerão a tela de login falsa e não preencherão automaticamente as credenciais.

Alguns Trojans bancários tentam capturar os códigos 2FA do aplicativo autenticador da mesma maneira, mas o Escobar parece ir direto à fonte. Ele aciona o Google Authenticator no comando e grava a tela, esperando capturar os códigos antes que a vida útil de 30 segundos acabe.

Claro, uma vez que os bandidos por trás do Escobar usam o VNC para controlar o telefone, eles podem fazer quase tudo o que quiserem, incluindo usar credenciais capturadas anteriormente para fazer login nas contas e usar o Google Authenticator para verificar os logins.