Pesquisadores da FireEye descobriram um malware que está afetando dispositivos Android e causando estragos em diversos países da Europa, se espalhando para cada vez mais lugares. O app malicioso chega ao aparelho por um link via SMS, escrito de maneira a incitar o usuário a clicar e instalar o programa. Depois, ele pode imitar a interface de aplicativos legítimos e, assim, faz com que o usuário passe informações pessoais ou bancárias.

Ao ser instalado, o malware identifica aplicações ativas e rodando em segundo plano. Depois, ao tentar utilizar um dos apps que o código malicioso está programado para emular, ele vê uma tela igualzinha à que está acostumado, e alguma informação será pedida. Achando se tratar do app confiável, o usuário passa as informações, que vão para o bando de dados dos criminosos.

De acordo com os pesquisadores, o malware começou a se espalhar na Dinamarca em fevereiro, depois atingiu Itália, Alemanha e Áustria, entre outros países. Inicialmente, era programado para simular aplicativos bancários ou dos correios, mas está se desenvolvendo para atingir ainda mais pessoas com maior facilidade, já sendo capaz de imitar Facebook, WhatsApp, WeChat, Uber, Viver e até a Google Play Store.

Os aplicativos maliciosos utilizados em campanhas mais recentes são geralmente mais difíceis de analisar, pois foram adotadas técnicas de ofuscação para evitar a detecção. Além disso, foi adicionada uma nova funcionalidade; em particular, notamos que as amostras mais recentes nivelaram a reflexão para ignorar a restrição de escrita do SMS reforçada pelo serviço App Ops (introduzido no Android 4.3). Tudo isso sugere que os atores das ameaças estão ativamente melhorando seu código", escreveram os pesquisadores.

De acordo com eles, as mensagens SMS também estão ficando mais sofisticadas, com textos mais enfáticos, dizendo coisas como "não pudemos entregar sua encomenda. Por favor, cheque suas informações de envio aqui". Um malware em particular que focava usuários na Dinamarca gerou mais de 130 mil cliques.