Descoberto em meados de junho, o mais recente vírus teve disseminação suficiente para se tornar uma das três ameaças mais presentes no universo mobile.

O MaliBot é um malware bancário, capaz de roubar senhas e carteiras de criptomoedas, além de dados do navegador, mensagens de texto e até realizar capturas da tela. São movimentos usuais de uma praga bancária, que é capaz de ultrapassar, até mesmo, sistemas de verificação em duas etapas.

O vírus chega por SMS, a partir da lista de contatos de outros usuários contaminados, e se disfarça como um aplicativo de mineração de criptomoedas; na prática, utiliza as permissões de acessibilidade e launcher do Android para realizar diferentes ações criminosas.

Enquanto se disfarça de soluções reais do mercado de criptomoedas, ele realiza tarefas que envolvem navegar e usar o celular como se fosse o usuário, aplica sobreposições falsas para inserção de dados e captura telas, dados digitados, áudio do microfone e imagens da câmera. Além disso, a praga também é capaz de registrar ações realizadas no aparelho, interceptar notificações e também desativar mecanismos de segurança, de forma a não ser detectado, além, claro, de enviar mensagens de texto para outras pessoas como forma de se espalhar.

A empresa de segurança F5 Labs, que descobriu o Malibot em meados de junho, associa a origem da praga à Rússia, onde estão localizados os servidores de comando e controle. Sites falsos, se passando por mineradores e carteiras reais de criptomoedas, também são vetores de disseminação, com a companhia apontando que o vírus aproveita o vácuo deixado pelo FluBot, que teve suas operações encerradas pelas autoridades da Europa no começo do último mês, em uma operação envolvendo polícias de 11 países.

Foi a capacidade de disseminação rápida, inclusive, que colocou o Malibot na terceira colocação no ranking de ameaças mobile de junho da Check Point Research, divisão de inteligência de ameaças da empresa de segurança digital. Enquanto nomes como Emotet e Formbook seguem na liderança, o vírus para Android completa o pódio, novamente, tomando um lugar de destaque que, antes, era do FluBot.

“Os cibercriminosos estão bem cientes do papel central que os dispositivos móveis desempenham, e estão sempre adaptando e melhorando suas táticas para corresponder a isso”, explica Maya Horowitz, vice-presidente de pesquisa da Check Point”. No Brasil, os setores governamental e militar seguem na primeira colocação, entre os mais atingidos, seguido pelo varejo e, depois, pelo de comunicações. É um ranking que difere dos números globais, onde instituições de educação e pesquisa aparecem no topo, com governos em segundo e organizações de saúde na terceira colocação.

A Check Point também chama a atenção para o crescimento nas contaminações pelo Snake Keylogger, malware que captura a digitação e é focado em ataques contra usuários corporativos, “sendo distribuído em e-mails fraudulentos com arquivos nos formatos PDF ou do Word. Táticas de evasão e persistência também são aplicadas aqui, para fomentar novos ataques ou o roubo de dados”, conta Maya.