Um novo vírus para o sistema operacional Android é capaz de roubar dados do usuário, registrar o que é digitado ou acessado e, na pior das possibilidades, utilizar o celular como se fosse o próprio dono. A praga, batizada de Octo, é focada em aplicativos bancários, mas também pode ser usada em casos de fraude de criptomoedas, espionagem e outras ações maliciosas nos aparelhos.
O principal módulo do malware é o que faz com que o celular pareça estar desligado, enquanto um criminoso realiza as operações sem que o dono do aparelho perceba. O Octo exibe uma tela preta sobre todo o display, configura a claridade da tela para zero e ativa o modo “não perturbe”, de forma que as notificações não sejam exibidas. Essa é a última fase de uma operação que, anteriormente, envolve o registro das ações realizadas no celular, a coleta de senhas e demais elementos registrados pela própria praga.
Com todas as informações necessárias em mãos, o Octo disponibiliza aos criminosos um sistema de streaming ao vivo da tela, com atualizações a cada segundo, e baseado na tecnologia de projeção de mídia do próprio Android. A exploração também envolve o uso dos Serviços de Acessibilidade do sistema operacional, uma das permissões solicitadas por ele durante a contaminação e atual menina dos olhos da comunidade cibercriminosa para ataques contra a plataforma.
Apesar de ser inédito e ter funcionalidades arrojadas, o malware não é necessariamente novo, sendo uma variante do trojan Exo. A praga teve seu código-fonte vazado por criminosos rivais em 2018, enquanto a quadrilha responsável foi desbaratinada; já seu novo “irmão” está sendo vendido na dark web e vem atraindo atenção, de acordo com relatório de segurança publicado pela ThreatFabric.
Os especialistas apontam, inclusive, que um dos desenvolvedores originais da praga pode estar por trás dessa nova versão. O principal negociador do malware se autointitula Architect e seria falante do inglês, trabalhando também na publicação de aplicativos infectados na Google Play Store e outras alternativas de intrusão que são fornecidas aos clientes, que também têm acesso a um painel de controle de onde gerenciam a praga e os dados obtidos.
De acordo com o levantamento da ThreatFabric, apenas um dos apps maliciosos disponibilizados, chamado de Fast Cleaner, ultrapassava a marca dos 50 mil downloads quando foi detectado e tirado do ar, em meados de fevereiro de 2022. Os criminosos também usaram sites com supostas atualizações de navegadores ou aplicativos como vetor, assim como apps de transmissão de tela, segurança bancária ou que se disfarçavam de elementos do sistema operacional.
Como se proteger do golpe da “mão fantasma”
Fraudes desse tipo, em que golpistas são capazes de usar o celular como se fossem o próprio dono, já vêm sendo rastreados por especialistas em segurança desde o ano passado. Para evitar contaminação, o ideal é não realizar o download de apps e atualizações fora de meios oficiais, como lojas reconhecidas ou as configurações dos próprios aparelhos, evitando também clicar em links e ignorando mensagens que prometam algo assim.
Manter o sistema operacional atualizado e softwares de segurança sempre ativos também ajuda a evitar fraudes desse tipo. Caso perceba ter caído no chamado golpe da “mão fantasma”, é importante interromper o uso do dispositivo e trocar, em outro aparelho, senhas e credenciais que tenham sido acessadas recentemente, bem como ativar sistemas de autenticação em múltiplas etapas para evitar intrusões por senhas comprometidas.
Fonte: ThreatFabric