Dois aplicativos na Google Play estão disseminando o malware bancário Anubis. De acordo com descoberta feita pela Trend Micro, os apps Currency Converter e BatterySaverMobi usam o código do Anubis em 19 domínios maliciosos que trocam constantemente o endereço IP, algo que demonstra o quão ativa é a campanha criminosa.
O falso app de reserva de bateria teria obtido mais de 5 mil downloads, nota de 4,5 estrelas e 73 comentários no marketplace de aplicativos. Em uma das amostras com 350 usuários que baixaram o BatterySaverMobi, a empresa de segurança revela que a maioria das vítimas são de Japão, Áustria e Estados Unidos.
Chama a atenção a complexidade do golpe, uma vez que os dois apps utilizam os movimentos do usuário e do dispositivo para escapar de sistemas de detecção de malwares.
Como funciona
O app monitora quando o usuário está em movimento e aciona o código malicioso; quando acionado, a aplicação sugere ao usuário baixar uma atualização de sistema falsa via arquivo .SDK. Se a pessoa não está se movendo, o app não envia o malware, pois considera que pode ser uma emulação para descobrir se o aplicativo é fraudulento. Ou seja, o golpe só funciona após confirmar que há uma pessoa por trás daquele smartphone.
Além dos IPs e do acompanhamento dos movimentos da vítima, os dois apps disfarçam o código que ativa o Anubis como mensagens do Telegram ou do Twitter. Dentro desta mensagem está o endereço do servidor, que ativa o malware. Uma vez instalado, o Anubis consegue as informações financeiras com as teclas digitadas pelo usuário, além de copiar a imagem da tela do smartphone.
