Ataque Global: Xenomorph, o vírus bancário que impactou mais de 400 instituições financeiras

A versão recente de um vírus bancário atingiu as principais instituições de todo mundo, incluindo nomes importantes do setor no Brasil.

Ao todo, mais de 400 bancos, além de carteiras de criptomoedas e fintechs, foram contaminadas pelo Xenomorph, um malware bancário altamente modular.

Bancos como Bradesco, Itaú, Santander e Caixa aparecem na lista das 400 instituições atingidas. Existem bancos, ainda, da Espanha, Turquia, Polônia, Estados Unidos e Austrália.

Entre as organizações de criptomoedas atingidas, destacam-se Binance, Gemini, Coinbase e BitPay. Por trás dessa situação, estão cerca de 50 mil downloads feitos por usuários de aparelhos Android.

Praga

O vírus espalhou-se rapidamente. Esta é a terceira e mais avançada versão do Xenomorph. Ele chega aos aparelhos, geralmente, por meio de aplicativos fraudulentos na Google Play Store.

De acordo com a empresa de cibersegurança ThreatFabric, o foco dos desenvolvedores dessa ameaça, além do lucro financeiro, é a automação de toda a cadeia de fraudes financeiras.

Eles visam não só à contaminação dos smartphones, mas o roubo de credenciais e, claro, o desvio de dinheiro dos clientes dos bancos afetados.

Esperteza

O Xenomorph abusa dos Serviços de Acessibilidade do Android para acessar telas sobrepostas e obter códigos de autenticação nas notificações do aparelho.

Ele está se espalhando como se fosse um conversor de valores de criptomoedas. Uma vez instalada no sistema, a ferramenta muda o ícone de identificação para o do serviço Play Protect, que é do próprio Google, e assim mantém sua presença de forma mais oculta.

Autonomia

O que chamou a atenção dos especialistas foi a operação autônoma que essa nova versão do Xenomorph possui. Basta que o operador do malware envie scripts com listas de ações para que ele faça tudo de forma independente.

Isso é possível a partir de um framework criado pela quadrilha responsável pelo vírus, a chamada Hadoken Group. Com ele, não é mais preciso que os hackers enviem comandos remotos para a efetivação dos ataques.

Acesso à autenticação em duas etapas

Outro aspecto do Xenomorph que alarmou o setor bancário é a capacidade de registro de códigos de autenticação em duas etapas, gerados pelos aplicativos.

Essa medida mantém a efetividade dos golpes e burla o mecanismo criado pelas plataformas, na tentativa de evitar invasões e fraudes.

Com os códigos em mãos, os atos criminosos podem ser melhor planejados e praticados em horários estratégicos, como nos momentos em que o usuário não estiver utilizando o celular.

O Xenomorph já era visto como um perigo aos usuários de Android desde o ano passado, em sua versão anterior. Com essa atual mais poderosa, ele se tornou um risco ainda maior, segundo os especialistas da ThreatFabric.

Recomendação

A recomendação geral é que os usuários tenham atenção redobrada no download de aplicativos, mesmo os que aparecem na Google Play.

Fique atento a comentários e total de downloads disponíveis. Prefira soluções que sejam reconhecidas, feitas por empresas certificadas e populares, em vez de softwares liberados recentemente.