A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, descobriu um novo tipo de malware que se disfarça como aplicativos Android. Por enquanto, esse vírus de celular tem atuado na Ásia Oriental se passando por aplicativos populares e já foi baixado por mais de 300 mil pessoas.
A empresa explica que o objetivo desse esquema de phishing do FluHorse é roubar informações confidenciais, incluindo credenciais de usuário (como 2FA – autenticação de dois fatores) e detalhes de cartão de crédito.
LEIA MAIS: A NOVA MUDANÇA para quem tem o Whatsapp no celular Android que deixou todo mundo surpreso
Os cibercriminosos têm como alvo organizações e indivíduos em Taiwan e no Vietnã, entre outros. Ele imita aplicativos móveis populares para serviços bancários, transporte e cobrança de pedágio, o que permite acessar as informações que eles estão atrás.
O FluHorse tem como alvo vários setores no leste da Ásia e é normalmente distribuído por e-mail. Em alguns casos, entidades e indivíduos de alto perfil, como funcionários do governo, foram visadas durante os estágios iniciais do ataque de e-mail de phishing.
Um dos aspectos mais preocupantes do FluHorse é sua capacidade de permanecer indetectável por soluções antivírus durante longos períodos de tempo, tornando-o uma ameaça persistente e perigosa, difícil de identificar. A CPR tem pedido às empresas e aos indivíduos nas regiões afetadas a permanecerem vigilantes e tomarem medidas para se protegerem contra esse novo malware sofisticado e potencialmente devastador.
Aplicativos imitados
Os cibercriminosos geralmente optam por aplicativos populares com um alto número de downloads para maximizar o impacto de seu ataque e ganhar maior tração. Assim, este caso não foi exceção. Os atacantes escolheram uma seleção eclética de setores alvo para países específicos, usando um aplicativo simulado em cada país.
Os atacantes visaram esses aplicativos imitados de empresas respeitáveis porque estão confiantes de que tais aplicativos atrairão clientes financeiramente estáveis. Isso ocorre porque as empresas por trás desses aplicativos têm uma sólida reputação de confiabilidade.
Após baixar um desses apps falsos, a vítima vai inserir suas credenciais, que serão enviadas para um servidor controlado pelos criminosos. O malware, então, “diz” à vítima para esperar enquanto as informações estão sendo processadas. Ao mesmo tempo, o malware começa a interceptar todas as mensagens de texto recebidas, incluindo quaisquer códigos enviados para autenticação de dois fatores.
Se os atacantes roubarem as credenciais de login ou as informações do cartão de crédito da vítima, eles podem usar isso para contornar o 2FA e obter acesso às contas da vítima.
Como se proteger contra ameaças móveis
Como o fator humano continua sendo um aspecto importante em ataques semelhantes, a Check Point Research lista as seguintes recomendações para proteção dos usuários de dispositivos móveis:
- Solução de segurança móvel para impedir que malwares se infiltrem em dispositivos móveis, detectando e bloqueando o download de aplicativos maliciosos em tempo real.
- Os usuários devem permanecer vigilantes e evitar clicar em links que chegam por e-mails ou textos de fontes desconhecidas.
Também é preciso reconhecer um e-mail falsificado, item que faz parte de campanhas de phishing, as quais são projetadas para enganar o destinatário a realizar alguma ação que ajude o criminoso. Para identificá-los, considere:
- Contexto: Os e-mails de phishing são projetados para parecer legítimos, mas nem sempre são bem-sucedidos. Se um e-mail não parece ter vindo do suposto remetente, pode ser um e-mail de phishing falsificado. No entanto, os cibercriminosos estão começando a usar inteligência artificial (IA) para gerar e-mails de phishing realistas, tornando necessário um exame mais minucioso.
- Responder a: um endereço de resposta permite que as respostas a um e-mail de um endereço sejam direcionadas para outro. Embora tenha usos legítimos (como campanhas de e-mail em massa), é incomum e deve ser motivo de suspeita para e-mails provenientes de uma conta pessoal.
- Recebido: o cabeçalho RECEBIDO (RECEIVED) em um e-mail indica os endereços IP e nomes de domínio dos computadores e servidores de e-mail no caminho percorrido pelo e-mail. Um e-mail de e para endereços de e-mail dentro da mesma empresa deve passar apenas pelo seu servidor de e-mail.