BasBanke
O BasBanke é um Trojan bancário capaz de infectar dispositivos Android e coletar dados financeiros. Sua funcionalidade, no entanto, não se limita a apenas exfiltrar credenciais e detalhes de cartão de crédito ou débito. Ele também pode registrar as teclas digitadas, interceptar qualquer SMS recebido pelo dispositivo infectado e registrar a tela do dispositivo. A ameaça é totalmente única e não pertence a nenhuma das famílias de malware Android estabelecidas anteriormente.
O BasBanke foi projetado para atingir especificamente os usuários brasileiros. A primeira campanha envolvendo a ameaça começou durante as eleições brasileiras em 2018, e durante seu período, mais de 10.000 downloads foram registrados na loja oficial do Google Play. Os criminosos por trás do BasBanke lançaram vários aplicativos falsos que carregavam o código corrompido. Além disso, eles espalham mensagens de anúncios pagos no Facebook e no WhatsApp para enganar o usuário desavisado, fazendo-o baixar os aplicativos com malware.
BasBanke violou a segurança da Google Play Store
O ameaçador Trojan bancário foi incorporado como parte de aplicativos falsos para contornar os protocolos de segurança do Google e foi distribuído na Google Play Store oficial. Os diversos aplicativos criados pelos hackers prometiam vários recursos atraentes, como um aplicativo para planos de viagens usando o nome de uma agência de viagens real, um leitor de QR e um aplicativo que mostra aos usuários que visitam seus perfis de redes sociais. O mais popular desses aplicativos falsos era chamado CleanDroid, e tinha uma variedade impressionante de recursos falsos. Ele prometeu manter o dispositivo do usuário livre de malware, salvar dados quando 3G ou 4G for usado e otimizar o uso de memória do dispositivo.
Compreensivelmente, uma parte significativa da lista de alvos do BasBanke é dedicada a várias instituições bancárias brasileiras, mas sites como Spotify, Netflix e YouTube também estão incluídos. Qualquer informação de identificação pessoal (PII), como número de telefone, IMEI e nome do dispositivo, é enviada para o servidor Command-and-Control (C2) do malware.
