A Infragard, organização norte-americana sem fins lucrativos que trabalha em parceria com o FBI, advertiu à agência de investigação que identificou que duas famílias de malware para Android são usados ativamente para ataques do tipo phishing.

Os malwares, que recebem os nomes de SlemBunk e Marcher, são capazes de obter as credenciais bancárias de clientes de instituições financeiras. O trojan monitora o dispositivo infectado até que o usuário abra um aplicativo de banco, a fim de injetar uma tela falsa sobre a interface de usuário do aplicativo legítimo. Desse modo, as informações inseridas pelo cliente são enviadas para os criminosos.

A interface de login falso é indistinguível. De acordo com relatórios da indústria sobre ameaça cibernética, ambas as famílias de malware têm como alvo as instituições financeiras estrangeiras desde 2014, ampliando gradualmente a lista que inclui os bancos ocidentais. O malware foi oferecido para concessão ou compra em fóruns clandestinos.

Os aplicativos SlemBunk não são exatamente uma novidade, mas as últimas versões conseguem se espalhar mais facilmente por técnicas de download em sites da web. Eles se mascaram como aplicações populares comuns, e permanecem incógnitos depois serem executados pela primeira vez. Eles têm a capacidade de realizar a técnica de phishing para obter credenciais de autenticação quando um app bancário especificado e outros aplicativos semelhantes são lançados.

Para que o malware faça uma vítima, o usuário precisa baixar o app malicioso através de um site. Versões mais recentes do SlemBunk foram vistas distribuídas através de sites pornográficos. Os usuários que visitam esses sites recebem solicitações constantes para baixar uma atualização do Adobe Flash, que supostamente permitiria ver o conteúdo, mas isso faz o download do malware.

O Cavalo de Troia pode falsificar as interfaces de usuário de aplicativos de pelo menos 31 bancos de todo o mundo e dois prestadores de serviços de pagamento móvel.

A dica, portanto, é se manter sempre atento aos downloads suspeitos em sites não oficiais ou lojas de terceiros.