Novo vírus Crocodilus ataca Brasil e tem bancos como alvos

Um novo trojan chamado Crocodilus foi identificado pela equipe de inteligência da empresa holandesa ThreatFabric. O malware é um trojan bancário que infecta dispositivos Android na Europa, contudo, seus operadores cibercriminosos agora têm a América do Sul como alvo.

Trojans, como o Crocodilus, são programas de computadores maliciosos que se disfarçam de programas legítimos. São malwares que enganam o usuário do computador ou celular para roubar dados sensíveis ou bancários — em alguns casos, também para espionagem, dobrando como spyware.

Falando sobre os últimos ataques na Europa, a TheatFabric comenta que “chamou a atenção um caso na Polônia. Ele imitava aplicativos de bancos e plataformas de ecommerce; o malware era promovido por meio de anúncios do Facebook. Esses anúncios incentivaram os usuários a baixar um aplicativo para resgatar pontos de bônus”.

Além disso, chegando ao Brasil em breve, o trojan foi melhorado com técnicas de ofuscação e engenharia reversa para dificultar a análise e a detecção. Ao infectar um dispositivo, o trojan abusa das permissões de serviço de acessibilidade para buscar carteiras de criptomoedas.

O Crocodilus agora está mais apto a coletar informações confidenciais e evitar a detecção

O Crocodilus se mascara como aplicativos legítimos, entre eles, o Google Chrome, um dos apps mais utilizados ao redor do mundo. Outros apps e modos utilizados para enganar vítimas envolvem aplicações de “cassino” — as famosas Bets — e atualizações para navegador.

Dentro de um celular Android, o trojan também cria um usuário na lista de contato chamado “TRU9MMRHNCRO”. A ThreatFabric acredita que essa ação é realizada como contramedida às proteções de segurança do Google no Android.

“Acreditamos que a intenção é adicionar um número de telefone com um nome convincente, como ‘Suporte Bancário’, permitindo que o invasor ligue para a vítima fingindo ser legítimo. Isso também poderia contornar as medidas de prevenção a fraudes que sinalizam números desconhecidos”, comentam os pesquisadores.

São diversas melhorias em seu código malicioso para atacar a América do Sul, principalmente no que toca componentes de dropper e carga útil, confira:

• Empacotamento de código para o dropper e a carga útil
• Criptografia XOR adicional da carga útil (Crocodilus) para ocultá-la durante a análise
• Código emaranhado e complexo para complicar a engenharia reversa

“As campanhas mais recentes sinalizam uma evolução preocupante tanto na sofisticação técnica do malware quanto em seu escopo operacional. O Crocodilus agora está mais apto a coletar informações confidenciais e evitar a detecção”, sinalizam os pesquisadores. “Essa mudança não apenas amplia o impacto potencial, mas também sugere um agente de ameaça mais organizado e adaptável por trás de sua implantação. Organizações e usuários devem permanecer vigilantes e adotar medidas de segurança proativas para mitigar os riscos representados por esse malware cada vez mais sofisticado”.

Além do Brasil, outros alvos do Crocodilus são a Argentina, Espanha, Estados Unidos, Índia e Indonésia.

• Leia também: China hackeia empresas no Brasil para vencer editais, diz VP da CrowdStrike
   

Como se proteger

É importante que você saiba como se proteger contra malwares do tipo. Vale notar um ponto: os operadores do Crocodilus têm o Facebook como método de disseminação. Isso pode mudar, obviamente, mas isso também significa que usuários em faixas de idade mais avançadas podem ser impactados mais vezes.

Outro ponto envolve a evolução de suas capacidades: mesmo que, na pesquisa, só tenham notado o roubo de criptomoedas, o acesso que o Crocodilus alcança pode expor informações pessoais sensíveis e também bancárias, dependendo do armazenamento realizado pelo usuário.

Siga os seguintes passos para evitar uma infecção do tipo:

• Evite interagir com mensagens e emails que tragam ações urgentes, promoções e presentes
• Não faça o download de qualquer programa ou aplicação fora da Google Play Store e Apple App Store
• Tenha um bom antivírus instalado no seu dispositivo
• Mantenha seu sistema operacional sempre atualizado
• Utilize senhas longas, com caracteres especiais e diferentes para cada serviço
• Tenha segundo fato de autenticação sempre ativado em todos os serviços (preferencial utilizar app terceiro e não SMS)

Acompanhe aqui mais notícias de cibersegurança no TecMundo!