Novo trojan BankBot-YNRK ameaça usuários de Android com roubo de dados financeiros
Pesquisadores da Cyfirma identificaram o trojan bancário BankBot-YNRK, que atinge dispositivos Android 13 e versões anteriores. O malware explora vulnerabilidades nos serviços de acessibilidade para obter permissões elevadas sem consentimento explícito do usuário. Ele foca no roubo de credenciais bancárias e acesso a carteiras de criptomoedas.
O código malicioso inicia verificações ambientais logo após a instalação. Ele detecta emuladores para evitar análises em sandbox. Em seguida, identifica modelos de fabricantes como Samsung, Oppo e Google. Essa adaptação permite ataques personalizados.
- Verifica ambiente real ou emulado.
- Identifica fabricante e modelo específico.
- Personaliza código para maior eficácia.
Mecanismos de camuflagem e persistência do malware
O BankBot-YNRK desativa notificações de aplicativos instalados. Ele silencia configurações de som para operar sem alertas.
O trojan altera o JobScheduler do Android. Essa modificação garante inicialização automática com o sistema. Ele mantém conexão constante com servidor de comando e controle.
Os criminosos enviam comandos remotos via C2. Eles simulam toques e instalam APKs adicionais. O malware exfiltra contatos, SMS e localização do dispositivo.
Exploração de acessibilidade para privilégios administrativos
O comando OPEN_ACCESSIBILITY redireciona o usuário à tela de configurações. O malware solicita ativação dos serviços de acessibilidade.
Com privilégios obtidos, ele abre apps bancários periodicamente. Captura telas com dados sensíveis em exibição.
O trojan tenta obter frases-semente de carteiras cripto. Ele evita interações com biometria para minimizar detecção. Transações não autorizadas ocorrem se biometria não estiver configurada.
Sem biometria ativa, o risco de roubo aumenta significativamente. O malware executa transferências diretamente.
Capacidades remotas ampliadas do BankBot-YNRK
O malware gerencia instalações e desinstalações de APKs. Ele atualiza e abre aplicativos sob comando.
Interage com interface simulando gestos e toques. Desbloqueia tela e navega por menus do sistema.
- Encaminha chamadas e envia SMS.
- Captura fotos e oculta janelas flutuantes.
- Insere texto em campos de formulários.
- Gerencia downloads e execuções de arquivos.
Disfarce como aplicativo legítimo e distribuição
O BankBot-YNRK se apresenta como app do governo indiano. Essa tática burla verificações iniciais em instalações de APKs.
Ele aparece em pacotes específicos como com.westpacb4a.payqingynrk1b4a. Outros incluem com.westpacf78.payqingynrk1f78.
Medidas de prevenção contra trojans bancários
Instale aplicativos apenas da Google Play Store. Evite fontes desconhecidas para reduzir exposição a APKs maliciosos.
Ative verificação em duas etapas em contas financeiras. Configure biometria em carteiras digitais para bloquear acessos não autorizados.
Mantenha o sistema Android atualizado com patches de segurança. Use antivírus confiáveis para escaneamento regular de dispositivos.
Veja Tambem em Segurança
PF e CGU realizam nova fase da Operação Sem Desconto contra fraudes de R$ 6,3 bilhões no INSS
Deolane Bezerra nega ligação com PCC e diz estar presa por pura perseguição
TJRJ adia novamente julgamento de Jairinho e Monique pelo caso Henry Borel
Sindicato de policiais penais denuncia regalias a Deolane Bezerra em presídio de SP: chuveiro exclusivo e cama diferenciada
Famílias recebem indenização de R$ 1 milhão após condenação de hospital por troca de bebês
Justiça condena Dudu a indenizar Leila Pereira com R$ 50 mil por danos morais
Digimais de Edir Macedo movimenta carteira “podre” para fundos e omite R$ 480 milhões em perdas
Juiz aplica multa a advogadas por inserir comando oculto em IA de tribunal
PF prende suspeita de chefiar esquema de migração ilegal que movimentou R$ 45 milhões
Polícia Civil mira Oruam, mãe e irmão em operação contra lavagem de dinheiro
Golpe da falsa devolução usa códigos adulterados dos Correios para desviar pacotes
