Trojan bancário ataca Samsung e Xiaomi em busca de bancos e carteiras de criptomoeda

18 nov Trojan bancário ataca Samsung e Xiaomi em busca de bancos e carteiras de criptomoeda

Posted at 16:45h in Tech-Pt-br by

Três variantes de um trojan bancário sofisticado foram descobertas mirando principalmente usuários do Sudeste Asiático. O malware, que recebeu o nome de Android/BankBot-YNRK, tem foco especial em bancos do Vietnã, Indonésia, Malásia e Índia — e traz um arsenal impressionante de funcionalidades para roubar dinheiro e criptomoedas.

Os três arquivos maliciosos identificados têm aproximadamente 23.88 MB e foram disfarçados sob o nome “IdentitasKependudukanDigital.apk”. Em indonésio, isso significa algo como “Identidade Civil Digital” — claramente tentando se passar por um aplicativo governamental legítimo para ganhar a confiança das vítimas.

O que torna esse malware particularmente perigoso é o abuso sistemático dos Serviços de Acessibilidade do Android. Com as permissões de acessibilidade, o Android/BankBot-YNRK consegue automatizar cliques, navegar pelos menus, ler tudo que aparece na tela e preencher campos de texto — tudo isso como se fosse você operando o celular.

Como funciona o golpe

A primeira coisa que o malware faz quando infecta um dispositivo é silenciar completamente o celular. Ele acessa o AudioManager do Android e zera o volume de todos os canais de áudio: música, toque, notificações, alertas — tudo vai para zero.

O objetivo é fazer com que o usuário não perceba o que está acontecendo. Nada de notificações de transações bancárias suspeitas, nada de chamadas, nada de mensagens. A vítima fica literalmente no escuro enquanto o malware opera livremente em segundo plano.

Todas as notificações e sons do celular da vítima ficam desativados, dando passe livre para que os criminosos controlem o aparelho de forma remota. Imagem: Cyfirma

Depois de silenciar o dispositivo, o Android/BankBot-YNRK recebe um comando “OPEN_ACCESSIBILITY” do servidor de comando e controle. Esse comando faz o malware redirecionar programaticamente para a tela de configurações dos Serviços de Acessibilidade, incentivando você a habilitar o serviço malicioso.

Esse truque funciona perfeitamente em dispositivos rodando Android 13 ou versões anteriores. Até o Android 13, era possível usar os Serviços de Acessibilidade para conceder outras permissões automaticamente, sem o usuário precisar autorizar cada uma individualmente.

A partir do Android 14, o Google introduziu restrições mais rígidas e proibiu esse tipo de abuso. Mas a realidade é que a maioria dos celulares no Sudeste Asiático ainda roda versões mais antigas do sistema operacional, deixando milhões de usuários vulneráveis.

Uma vez que você habilita o serviço de acessibilidade o malware imediatamente exibe uma tela cheia com uma mensagem em indonésio que imita um prompt de “Verificação de Informações Pessoais”.

A tela pede para você aguardar, enquanto nos bastidores o trojan está usando as permissões de acessibilidade para habilitar tudo que precisa: outras permissões críticas, serviços necessários para sua operação e até se adiciona como aplicativo administrador do dispositivo.

Google News é o disfarce perfeito

O Android/BankBot-YNRK tem uma técnica interessante de camuflagem. Quando uma atividade específica chamada GoAppLauncher é acionada, o malware usa uma configuração técnica chamada activity-alias para trocar completamente sua identidade.

O nome e ícone do aplicativo são substituídos pela marca Google News, e o app carrega o site legítimo news.google.com dentro de um WebView — basicamente um navegador embutido no aplicativo. Para quem olha de fora, parece que é só o aplicativo do Google News funcionando normalmente.

A infraestrutura por trás do ataque

O malware se comunica com um servidor de comando e controle localizado em ping.ynrkone.top, usando a porta 8181. A primeira coisa que ele faz é enviar um identificador único do dispositivo infectado junto com o nome do aplicativo que serviu de porta de entrada.

Em seguida, o trojan requisita uma lista de aplicativos bancários que pode atacar. O servidor responde com uma lista extensa de “package identifiers” — aqueles nomes únicos que cada aplicativo Android tem.

A lista é focada no Sudeste Asiático e afeta bancos como MoMo, SCB Mobile Banking, BCA, BRI, Maybank, Public Bank, SBI Yono, ICICI e Axis Bank.

Depois de identificar os alvos, o malware envia informações detalhadas sobre o dispositivo: fuso horário, se o serviço de acessibilidade está ativo, marca do celular, status de otimização de bateria e uma lista completa de todos os aplicativos instalados com nomes, identificadores e versões.

Tudo isso vai para um sistema de chat automatizado no servidor que gerencia todos os dispositivos infectados ao mesmo tempo — como um centro de comando digital controlando um exército de celulares comprometidos.

O malware também tem capacidade de comunicação via WebSocket na porta 8989 usando o servidor Janus WebRTC, embora essa funcionalidade não tenha sido observada durante a análise. Existem ainda tentativas de carregar conteúdo de outros domínios como plp.foundzd.vip, plp.e1in2.top e plp.en1inei2.top, mas esses endereços não puderam ser resolvidos nos testes.

Um controle remoto completo do seu celular

A lista de comandos é absurda. O trojan consegue:

Gerenciamento de apps: instala, desinstala, abre aplicativos específicos;Interação com dispositivo: desbloqueia tela, navega menus (Home, Back, Recentes), acende/apaga tela, simula cliques, swipes e gestos complexos;Controle do sistema: ativa/desativa Acessibilidade, define privilégios de administrador, configura métodos de entrada alternativos;Exfiltração de dados: coleta contatos, todas as mensagens SMS, lista de apps instalados, status do dispositivo e localização GPS em tempo real;Manipulação de comunicação: ativa redirecionamento de chamadas usando códigos MMI (formato *21*{número}#), cancela redirecionamentos, envia SMS;Operações de mídia: tira fotos com suas câmeras, esconde janelas flutuantes, preenche campos automaticamente, baixa arquivos, executa módulos adicionais.

A ameaça às criptomoedas

Talvez a funcionalidade mais preocupante: sistema completo de automação de carteiras de criptomoedas. O malware funciona literalmente como um bot controlador de wallets, abrindo aplicativos de carteira e interagindo através dos Serviços de Acessibilidade.

Consegue ler todo o conteúdo na tela e automatizar ações de input. Isso significa que extrai saldos, detalhes de transações e, principalmente, seed phrases e chaves privadas se aparecerem na tela. E ao contrário de conta bancária tradicional, não existe “central de atendimento” para recuperar criptomoedas roubadas.

Carteiras visadas (16 no total): Exodus, MetaMask, Trust Wallet, Coinomi, Coin98 Super Wallet, BitKeep, Blockchain Wallet, imToken, SafePal, TokenPocket, Status, Krystal, MeWallet e outras.

O trojan tem flag autoCloseBiometrics que descarta automaticamente prompts biométricos. Ele não rouba sua impressão digital — esses dados ficam seguros no hardware — mas contorna essas proteções para acessar o que está por trás.

Persistência que sobrevive até reinicialização

O malware usa o JobScheduler do Android para garantir que continua operando mesmo depois de reiniciar o celular. Cria um job recorrente através do JobHandlerService com latência mínima e backoff de apenas 30 segundos — marcado como “persisted”.

Essa marcação significa que o job sobrevive a reinicializações completas. Você pode desligar e ligar o celular quantas vezes quiser: a cada 30 segundos, o malware reagenda suas tarefas automaticamente.

Além disso, tenta se adicionar como aplicativo administrador do dispositivo. Com esses privilégios, pode prevenir a própria desinstalação e controlar configurações críticas do sistema.

A arte de não ser pego

O código foi ofuscado usando nmm-protect, dificultando análise por pesquisadores de segurança. Mas a proteção vai além: o malware tem múltiplas camadas de detecção de ambiente para evitar revelar capacidades quando está sendo analisado em laboratório.

Inspeciona atributos do dispositivo procurando por strings características de emuladores. Verifica se está rodando em OPPO, Realme, ROMs ColorOS, Google Pixels e Samsungs. Tem um HashMap que associa modelos específicos de dispositivos às suas resoluções de tela — incluindo variedade enorme de aparelhos: Xiaomi (linha Redmi), Samsung, Vivo, Oppo/Realme, Nokia e Infinix.

Com esse mapa, adapta seu comportamento para cada tipo de dispositivo ou simplesmente não executa em ambientes de teste. Se detecta que está em emulador de laboratório, fica completamente quieto, escondendo suas verdadeiras capacidades.

O silêncio suspeito durante os testes

Detalhe importante: durante análises, o servidor de comando e controle não enviou muitos comandos adicionais. O trojan executou rotinas básicas de coleta mas não revelou todas as funcionalidades esperadas.

Três explicações possíveis: detectou ambiente de análise e ocultou capacidades intencionalmente; estava em dormência aguardando app bancário específico ser instalado; ou esperava condições específicas — horário, data, comando manual dos operadores.

Essa cautela é característica de malware sofisticado operado por grupos organizados que priorizam evitar detecção e manter operações de longo prazo. É um jogo de gato e rato entre criminosos e pesquisadores de segurança.

Como se proteger

Mas há boas notícias: você pode se proteger. O Android/BankBot-YNRK, por mais sofisticado tecnicamente, ainda depende de você cometer alguns erros básicos:

Nunca instale apps fora da Google Play Store. Side-loading é o vetor primário deste e de muitos outros malwares Android. Se você precisa ativar “Fontes Desconhecidas” ou “Instalar apps desconhecidos”, isso é um alerta vermelho gigante;Nunca dê permissão de Acessibilidade para apps que você não conhece completamente. Esta é a permissão mais perigosa no Android. Se um app está pedindo Serviços de Acessibilidade e você não entende exatamente por que — e a razão não é óbvia e legítima — recuse imediatamente;Mantenha seu Android atualizado. Se possível, use Android 14 ou superior. Versões mais recentes têm proteções específicas contra abuso de Serviços de Acessibilidade;Desconfie de aplicativos que se apresentam como serviços governamentais. Apps oficiais de identidade digital ou serviços públicos sempre devem ser baixados de canais oficiais. Pesquise no site oficial do governo para encontrar o link correto;Use autenticação de dois fatores em tudo que for crítico. Preferencialmente, use app autenticador (Google Authenticator, Microsoft Authenticator, Authy) ou chave de segurança física. Evite usar SMS como segundo fator sempre que possível, já que o malware intercepta mensagens;Para usuários de criptomoedas: considere hardware wallets. Carteiras como Ledger ou Trezor mantêm suas chaves privadas em dispositivo físico separado, fora do alcance de malwares. E nunca, jamais, tire foto ou screenshot da sua seed phrase.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.