2017/04/15

Malware na Play Store atacava bancos portugueses


Foi descoberto um app maliciosa na Play Store que tinha como alvo roubar informação de apps de 420 bancos espalhados pelo mundo, incluindo grande número de bancos portugueses, como a CGD, Millennium, BPI, etc.

A app em questão, entretanto já removida, fazia passar-se por uma app de vídeos divertidos; mas secretamente, a app tinha uma missão bem mais nefasta, intrometendo-se no funcionamento de quase meia centena de apps bancárias, para tentar obter os dados dos utilizadores e enviá-los para os atacantes.

Para conseguir fazer isto a app vai pedindo grande número de permissões, incluindo a capacidade de desenhar sobre outras apps, sendo isso um dos elementos críticos essenciais para o seu funcionamento, já que a app tenta obter os dados desenhando um interface falso por cima das apps bancárias legítimas, na tentativa de obter os dados introduzidos pelo utilizador.

A lista de apps bancárias que poderiam ser afectadas por este BankBot é bastante extensa, e inclui apps de bancos portugueses como: CGD, Banco Popular, BPI, BES, Novo Banco, MB Way, Activo Bank, Millennium, Santander Totta, etc.

Neste caso, a app infectada tinha apenas cerca de 5000 mil instalações e pensa-se que este malware tenha sido injectado na sua última actualização (a compra de apps aos developers, para depois fazer chegar malware aos utilizadores via uma actualização tem sido uma táctica bastante popular). Mas o mais assustador é pensar que este BankBot conseguiu passar as protecções automáticas da Play Store, e que potencialmente poderia/poderá ter chegado a outras apps bastante mais populares.

38 comentários:

  1. Respostas
    1. "funny videos 2017", com entre 1000 e 5000 downloads na playstore à data do screenshot.

      Eliminar
  2. Fantástica a segurança no Android!

    Sinceramente, se algo assim acontecesse no iOS, era semelhante cascadela nos OCS todos, mais youtubers em força, etc!

    Violações de segurança deste tipo nunca vi no iOS, no Android, não ser nem o primeiro, nem o último, porque a esmagadora maioria das pessoas tem aparelhos com software desactualizado e com graves problemas de segurança conhecidos em aberto.

    Em vez de se concentrarem em dizerem quantos telemóveis venderam, deviam dizer quantos smartphones venderam, porque se tivesse Android, não vejo como poderia aplicações ócio estas, e qualquer coisa que requeira cartões de crédito ou qualquer tipo de pagamento.

    ResponderEliminar
    Respostas
    1. Ás vezes não sei se as pessoas são dementes.

      Senhor Rui Comédia, não há exploits nem malware no ios? Ahaha. Use uma feature que vem nos Androids e pesquise no Google por cellebrite por exemplo para sacar pins aos utilizadores..

      Comentário palhaçada do mês!

      Eliminar
    2. dá-lhe tempo... para o fim do mês ainda falta

      Eliminar
    3. Não, não há exploits bem malwares no iOS.

      Coisas como estás são simplesmente impossíveis num SO com segurança e com AppStore bem vigiada.

      Nunca isto aconteceu na história do iOS, manque-se! Isto está sempre a acontecer no Android, ninguém quer falar, apagaram uma, amanhã aparece outra.

      O Android não tem segurança absolutamente nenhuma, não venham com Nexus e não sei que mais, porque isso nem 1% usa, e mesmo assim, só atualizam o telemovel mais novo a tempo e horas, o resto demora semanas ou meses.

      Não saca pins de ninguém, não venha com tretas nem meias tretas. Você não tem provas disso acontecer. Qualquer um pode abrir um site e revindicar o que quer.

      O Android é um SO bom para game boys, admitam ao menos.

      Mas não espero muito de gente que acha que é aceitável um sistema operativo que deixa uma aplicação de vídeos engraçados roubar dados de aplicações de banking!

      E ainda falam das permissões do Android que estão ao nível do iOS... está visto que sim...

      Eliminar
    4. Este comentário foi removido pelo autor.

      Eliminar
    5. Este comentário foi removido pelo autor.

      Eliminar
    6. Este comentário foi removido pelo autor.

      Eliminar
    7. Este comentário foi removido por um gestor do blogue.

      Eliminar
    8. Este comentário foi removido por um gestor do blogue.

      Eliminar
    9. Moço estás enganado se usas IOS ou Mac e pensas que é seguro, a não ser que desligues a internet e tapes as entradas USB​ e mesmo assim ainda há possibilidade de apanhar qualquer coisa pois atualmente não existe SO seguro nem de perto nem de longe. Já o tipo de português que estão a usar creio que não é benvindo por aqui.

      Eliminar
    10. Ó Paulo, não me quero meter nas tuas zurzidelas com o Rui - mas o que é isso dos leaks das fotos do iCloud? Não percebeste que as fotos foram obtidas por engenharia social/phishing? E que que a maior parte das fotos vieram dos serviços da Google? E que os gajos já foram julgados e condenados e o que havia para provar já foi provado?

      Não basta chamar burros aos outros. É preciso zurrar informado ;-)

      Eliminar
    11. Ja sabem que não tenho por hábito eliminar comentários, mas agradeço que mantenham a discussão civilizada e sobre os tópicos em questão, senão não me resta ir limpando tudo o que acho impróprio para o ambiente que por cá tentamos manter. Obrigado.

      Eliminar
    12. Quer dizer, o meu foi apagado, o dele, que me chama "idiota", "retardado" e "demente", já está bom, né?

      Eliminar
    13. Picardias do costume. Enfim.... Há que manter o nível mas (Carlos Martins) escapou-te um comentário nessa limpeza

      Eliminar
    14. Nunca isto aconteceu na história do iOS?! looool

      https://www.nytimes.com/2015/09/21/business/apple-confirms-discovery-of-malicious-code-in-some-app-store-products.html?_r=0

      Eliminar
    15. O iOS pode não ter exploits nem malwares, mas parece-me que também não tem um corretor ortográficco decente, tantas são as asneiradas que os utilizadores de iPhone escrevem...

      Eliminar
    16. @Unknonw, para ler, é preciso saber ler. Esse "malware" foi limpo antes de fazer qualquer estrago, e é de toda a responsabilidade dos developers. Pois o que fica afectado, são as suas Apps, e não o resto do sistema. Não foi violado nenhuma proteção de segurança do iOS, ao contrário do que a porcaria de clickbait do NYT quer imprimir, que são casos com muitos "se's" e nada baseado na realidade.

      Eliminar
  3. parece-me obvio que o android é muito menos seguro que ios.

    Dizer o contrario é parvoíce.

    Agora dizer que iOS é completamente seguro, também é parvoíce.

    Mas que android é muito menos seguro, isso é mais que obvio..

    fiquem bem.

    ResponderEliminar
    Respostas
    1. De todas as vulnerabilidades publicamente conhecidas, não há UMA ÚNICA que o meu iOS 10.3.1 e macOS 10.12.4 estejam abertos.

      Não é preciso magia, ou configurações mirabolantes. Só aceitar o update, não pagar nada, não tenho de ter o último telemóvel, não tenho de comprar o modelo mais caro, nada!

      Isto, é o expoente máximo de segurança informática num dispositivo pessoal.

      Podes procurar a Internet públicamente acessível toda. Não encontras uma vulnerabilidade, muito menos arranjas um exploit, muito menos um exploit que permita danos deste calibre, muito menos vês esse exploit publicado na AppStore. Isso, em 9 anos de AppStore, nunca aconteceu!

      O Android é completamente o contrário, não existe segurança, ponto final. Quando existem falhas destas, eu não consigo ver outro uso para Android que não máquina de jogos. Porque desde e-banking, a pedir um uber, comprar uma App, tirar fotografias à família, etc. requer tudo segurança!

      E grande parte disto é por culpa de decisões tomadas pela Google, que bem sabia o que ia acontecer, mas não se importou, porque para eles, interessa que o maior número de pessoas usem Android, que é para usarem os serviços dela, e para obter lucros com vendas na PlayStore. Eu nunca vi tamanha toda de irresponsabilidade de uma empresa avaliada em centenas de milhares de milhões de dólares a fazer isto!

      API's, por exemplo, que permitem uma App desenhar sobre outra App, podem ter utilizações sanas, mas a maioria das Apps, vai usar com fins maléficos, como é que é possível a fabricante do OS deixar isso, os fanboys dizerem bem, e ainda virem mandar bocas aos utilizadores de iOS, que não presta, porque não dá para fazer X.

      Eliminar
    2. Não há sistema nenhum "completamente seguro" pois o "completamente seguro" é anulado assim que alguem estuda e se infiltra no mesmo. Há cerca de 18 anos atrás uma empresa de software de gestão (a qual não vou mencionar aqui o nome por razões obvias) assegurou-me que as soluções que vendiam eram "completamente seguras" e impossível de haver cópias piratas pois eram fornecidas com chaves HASP da Rainbow Technologies. Sempre gostei de desafios e já dei a volta a muita coisa só para mostrar que nem sempre as coisas são como nos dizem. Após uns 30 dias de analise durante os meus tempos livres, cheguei ao ponto de ter todas as soluções de software desta empresa a funcionarem sem a chave de proteção HASP e ainda fui mais longe ao ponto de conseguir alterar os dados de qualquer chave HASP desta empresa para permitir a execução de qualquer outro tipo de aplicação de gestão forncecida pela mesma. E ainda fiz uma pequena aplicação para permitir alterar o Licenciamento de qualquer uma das aplicações fornecidadas por eles. Mas só me levaram a sério quando lhes entreguei um papelinho com os dois PIN's de acesso à chave HASP que após uma verificação e confirmação com o departamento de programação isso deu origem à reunião onde finalmente foi possivel dialogar. Relatei-lhes tudo o que fiz, como fiz e como 'dificultar' que alguem fizesse o mesmo de futuro.

      Eliminar
    3. Pois, é verdade que: "Não há sistema nenhum "completamente seguro"
      Só que essa conversa relativamente ao Android vs. iOS é atirar poeira para os olhos - é dizer que são ambos igualmente inseguros.
      "Uma mão lava a outra e ambas batem palmas", "Varre-se o lixo para debaixo do tapete".

      O que é um facto é que por causa do sistema de actualizações há uma centenas de milhões de equipamentos Android com várias vulnerabilidade graves e que no iOS estão corrigidas.

      Eliminar
    4. Rui podes-me dizer como actualizo o Iphone 4S para essa versão de IOS? Thanks!

      Eliminar
    5. Algum Android de 2011 que tenha atualização para Nougat?

      Eliminar
  4. a verdade é que se esta noticia fosse sobre uma falha de segurança no iOs, o texto da mesma seria bastante diferente..
    Há uma notória parcialidade na forma como são expostos os temas android/iOs e tenho alguma pena visto gostar imenso deste "blog".
    Já tive android e deixei de ter após ter experimentado um iPhone e daí migrei para Mac em detrimento do windows..
    e era um fanboy android e nunca deixava sequer falar em iPhones e afins..

    ResponderEliminar
    Respostas
    1. é porque sao melhores queres ver...Os 2 tem os seus trunfos , mas nao me venhas com tretas que o novo S8 parte em caquinhos o iphone 7 sem falar da posssibilidade decx etc...há e reveja quem faz a maior parte dos componentes da apple ....

      Eliminar
    2. Mas porque é que têm de vir aqui com S8's?

      Ninguém quer saber dessa porcaria!

      E a Samsung não faz componente nenhum!

      https://pt.ifixit.com/Teardown/iPhone+7+Plus+Teardown/67384

      ZERO!

      a Samsung não faz os seus próprios processadores, usa o Android da Google, vêm com mentiras que vos pregam para vos venderem lixo caro nas lojas.

      Eliminar
    3. Rui, teres opiniões, tudo bem; tentares negares factos facilmente comprováveis já me parece que só te retira a credibilidade. A Samsung fabrica os seus próprios Exynos sim - mais, até fabrica os Snapdragon 835 da Qualcomm, e também fabricava os A9 da Apple.

      Eliminar
    4. Os Exynos são feitos com cores licenciados ARM, não é Samsung. É igual aos Rockchip e Mediatek, por exemplo.

      Os A são feitos com cores desenhados pela Apple.

      Eu disse "faz", não disse "fabricar", é bem diferente.

      Esse A9 foi fabricado não só pela Samsung, mas pela TSMC.

      Aliás, se é para defender a Samsung, é melhor nem falar da página negra desse mesmo ano…

      https://www.extremetech.com/extreme/212898-taiwanese-court-rules-former-tsmc-employee-shared-stolen-secrets-with-samsung

      Eliminar
    5. Ok... "faz" serve para sinónimo de "desenhar", mas não de "fabricar"...

      Eu já só dou comigo a tentar imaginar o que te vai custar ter um iPhone que venha a ter um ecrã OLED fabricado pela Samsung... Aquilo que tu garantidamente já disseste que nunca viria a acontecer. (É que não consigo mesmo perceber essa mentalidade de recusar ver/reconhecer as coisas boas que existem nas plataformas concorrentes... e que em grande parte das vezes até ajudam a influenciar e melhorar as restantes...)

      Mas pronto, cada um é como é... sendo que apenas se pede um pouco de moderação ao falar publicamente e aceitar que outros tenham opiniões diferentes, ou até mesmo opiniões exactamente coincidentes, mas a favor do lado oposto.

      Eliminar
  5. É por isso que deixei o Android de parte. O SO é muito bonito coisa e tal, mas segurança deixa muito a desejar.

    ResponderEliminar
  6. Android é so floops... ja para nao falar no hardware que cada vez mais potente tem que ser. Android é uma mina de $$$$ para os fabricantes, que descuram a total segurança. Ainda falam do iOS. Enquanto os fabricantes e android morrem logo a nascença com obsolescência programada. Exemplos. Samsung . Note 4-Implementou nas emmc um autoKILL as mesma. Tentou o mesmo nos S7 mas as emmc morreram antes do tempo programado, se calhar ate tentou o mesmo nos Note 7, mas neste caso ardiam. :D LG V10 estao a morrer todos devido ao calor excessivo dos Snapdragon. Sao telemóveis topo de gama que nao passam de lixo. Mas ainda bem que deixam os fabricantes fazerem pouco da vossa cara. Long live 4 iPHONE :D

    ResponderEliminar
  7. Eu acho que o assunto pode ser resumido a dois pontos essenciais:
    1) temos um caso de malware que chegou à Play Store, e não deveria ter chegado - é o eterno jogo do "gato e do rato", e será impossível garantir que não acontece, em qualquer loja que seja, pois é o trabalho dos "atacantes" descobrir forma de contornar os sistemas automáticos de detecção.

    2) Outro pormenor que parece ter ficado esquecido, é que este malware não funciona por "magia", e para poder fazer a sua missão, o utilizador tinha que lhe dar as muitas permissões exageradas que pedia. Ultimamente, será como culpar o sistema operativo da possibilidade do utilizador fazer reset completo ao equipamento, depois de ter introduzido o código, e ter confirmado por duas ou três vezes o que queria fazer.

    ResponderEliminar
    Respostas
    1. 1. Desculpas, se é para ter um nível de segurança destes, para quê o middleman? Só estorva.

      2. As pessoas não sabem o que essas permissões esquisitas servem, e não sabem para quem fim específico esses permissões são usadas. Eu posso ter uma App perfeitamente legítima a usar as mesmas permissões que uma App que as usa para mal.

      Isso é fruto da pressa com que a Google implementou coisas sem pensar um bocado nelas.

      Por exemplo, uma App que tenha permissão para aceder ao cartão de memória, pode ler só uma foto que o utilizador escolheu para aplicar uns filtros, pode apaga-las e pedir dinheiro, pode manda-las para um servidor, pode fazer muita coisa.

      Isso não é necessário, o iOS tem document pickers, que fazem o mesmo, com a segurança de só dar à aplicação a foto seleccionada.

      Ou os teclados alternativos que chegaram depois ao iOS, mas pode-se barrar o acesso à Internet desses teclados no iOS, já no Android, não sei se já tem, mas quando vi, não tinha.

      Eliminar
  8. Coimbra, qualquer parcialidade estará nos olhos de quem lê, uma vez que refiro falhas tanto nuns como noutros (quando são relevantes), mas não se pode deixar de referir que há aspectos em que umas plataformas são superiores às outras. Nem se pode discutir que em actualizações o iOS dá "100 a 0" ao Android; e se por outro lado o iOS pode ser considerado mais seguro, isso também se deve em grande parte às muitas limitações impostas pelo sistema, face à maior versatilidade do Android... que com isso também abre as portas a mais vulnerabilidade e vectores de ataque.

    Por exemplo, um ataque deste tipo, de uma app interceptar o funcionamento da outra desenhando um interface falso sobre ela, seria impossível em iOS, pois as apps não podem fazer isso (não esquecendo o pormenor de que no Android, para o poderem fazerem, o utilizador tenha que ter dado essa permissão.)

    ResponderEliminar
  9. android vs ios. conversas sem fim...

    ResponderEliminar