Recursos de acessibilidade do Android viabilizam ataques em aplicativos de bancos e compras
Aplicativo 'Whatsfound', cadastrado no Google Play, atacou usuários brasileiros.
A fabricante de antivírus ESET publicou um alerta sobre novos ataques contra usuários de telefones celulares com o sistema Android, do Google. Desta vez, criminosos estão explorando os recursos de acessibilidade — funções que facilitam o uso do celular para pessoas com necessidades especiais — para exibir telas falsas e até assumir o controle de aplicativos executados.
Os recursos de acessibilidade permitem que aplicativos leiam o que está na tela, realizem ações em nome do usuário (como toques ou acionamentos do botão “voltar”) e insiram sobreposições, o que permite colocar telas falsas que solicitem informações ou uma senha que será enviada diretamente ao golpista.
Um dos ataques mirou especificamente o Brasil. Segundo o especialista Lukas Stefanko, da ESET, criminosos cadastraram um aplicativo chamado “Whatsfound – Ache já” no Google Play. Se instalado, esse app utilizava recursos de acessibilidade para ter acesso ao conteúdo na tela. Além de monitorar o acesso a aplicativos dos principais bancos brasileiros, redes sociais e serviços de transporte, ele também entrava em ação caso o usuário tentasse desinstalá-lo ou abrir um software antivírus.
O Whatsfound já foi removido do Google Play.
Como os recursos de acessibilidade permitem que um aplicativo realize ações em nome do usuário, o programa malicioso pode entrar em ação até mesmo após o login. Com isso, o criminoso é capaz de realizar as transferências a partir do próprio celular da vítima. Alguns aplicativos bancários podem impedir esse tipo de ataque com a exigência de autenticação em cada transferência.
Este não é o caso do PayPal, que também entrou na mira de um aplicativo malicioso. Este app, porém, não foi cadastrado no Google Play. A ESET encontrou o aplicativo que aplica o golpe, chamado de “Android Optimization” (“Otimização do Android”) em lojas de terceiros não associadas ao Google.
Ao entrar no aplicativo oficial do PayPal e aguardar a vítima fazer o login, o programa malicioso iniciava automaticamente uma operação para transferir dinheiro à conta dos golpistas. O processo é tão rápido que a vítima não teria condições de intervir, de acordo com Stefanko.
O pesquisador disponibilizou um vídeo do ataque; assista.
Além de atacar o PayPal, o aplicativo também monitorava outros aplicativos, como o WhatsApp, o Google Play e o Skype. Em todos esses casos, o aplicativo mostrava uma tela solicitando um cartão de crédito supostamente necessário para prosseguir com o uso do aplicativo.
Recursos de acessibilidade devem ser autorizados
Embora recursos de acessibilidade garantam um acesso amplo e perigoso ao sistema para aplicativos maliciosos, eles devem ser autorizados separadamente após a instalação do programa. Em outras palavras, a permissão para o uso de recursos de acessibilidade não está inclusa entre as autorizações já concedidas na instalação do app.
É importante ficar atento para qualquer permissão relacionada à sobreposição de tela. Como o blog já alertou em ocasiões anteriores, a sobreposição de tela é uma das permissões mais poderosas do Android e deve ser concedida muito raramente.
Com alguns poucos cuidados, o celular ainda é a plataforma mais segura para acessar os serviços bancários e de pagamento.
