Novo trojan bancário ataca celulares Android em busca de apps de finanças

Recentemente, pesquisadores da Cyfirma reportaram um novo trojan focado no roubo de dados bancários, o BankBot-YNRK. A ameaça tem como alvo dispositivos que rodem Android 13, ou versões anteriores, e explora uma vulnerabilidade nos recursos de acessibilidade desses sistemas operacionais. 

Por meio da falha, os atacantes burlam a necessidade de obter permissões, garantindo acesso irrestrito a dados sensíveis dos usuários.

Embora pareça simples, o código malicioso do trojan revela mecanismos elaborados em sua operação. Por exemplo, uma das primeiras atividades após instalação é a sondagem do ambiente que ele está sendo executado. Essa etapa busca esclarecer se o aplicativo está em um dispositivo real, ou emulado, e costuma ser aplicada para evadir recursos de detecção.

Adiante, o malware faz outra verificação, desta vez buscando pelo modelo específico e sua respectiva fabricante. Durante essa checagem, há ainda funções específicas para identificar dispositivos da Oppo, Samsung e Google a partir de uma lista predefinida. Segundo o relatório, essa etapa serve para permitir a personalização automática do código malicioso, que se adapta ao ambiente afetado e implementa recursos para um ataque mais efetivo.

Trojan bancário de Android é persistente e silencioso

Assim que todos os detalhes do dispositivo infectado são catalogados, o trojan inicia um processo de camuflagem. Nessa etapa, as notificações de diversos aplicativos são desabilitadas, e as configurações de som são silenciadas. 

Em paralelo, o código malicioso do BankBot-YNRK também modifica o agendador de tarefas do Android, tecnicamente chamado de “JobScheduler”, para garantir sua persistência. Assim, ele é sempre inicializado junto do sistema operacional, com direito constante a uma conexão de internet.

Todas essas medidas buscam camuflar a execução remota de atividades, gerenciadas a partir de um centro de comando e controle (C2). Nele, os cibercriminosos podem solicitar inúmeras funções do dispositivo infectado: simular cliques, instalar outros aplicativos, exfiltrar dados pessoais e muito mais.

Justamente, é por meio desse centro de comando e controle que os criminosos conseguem explorar a falha nos recursos de acessibilidade do Android 13. Para isso basta que o comando “OPEN_ACCESSIBILITY” seja enviado ao dispositivo, forçando o redirecionamento do usuário até a respectiva tela de configurações. Lá, o malware solicita as permissões, que garantem privilégios administrativos quando aceitas.

 

Veja outras capacidades remotas do BankBot-YNRK:

  • Gerenciamento de aplicativos: instalação e desinstalação de APKs, atualização e abertura de apps.
  • Interação com o dispositivo: desbloqueio de tela, navegação (home, voltar, recentes, notificações), controle da tela e simulação de toques, deslizes e gestos.
  • Exfiltração de dados: coleta de contatos, mensagens SMS, aplicativos instalados, status e localização do dispositivo.
  • Manipulação de comunicações: encaminhamento e cancelamento de chamadas, envio de SMS.
  • Mídia e interface: captura de fotos, ocultação de janelas flutuantes e inserção de texto em campos de entrada.
    Gerenciamento de arquivos: download, execução e cancelamento de rotinas de transferência.

Risco a carteiras digitais e criptomoedas

Por outro lado, o que destaca o BankBot-YNRK como um trojan financeiro é a sua capacidade de atacar carteiras de criptomoedas. Por meio dos privilégios obtidos pela falha de acessibilidade, o código malicioso consegue abrir aplicativos de carteiras digitais periodicamente, capturando qualquer informação sensível que apareça na tela. Além disso, ele também explora transações recentes e tenta obter as senhas-em-frase – que permitem efetivamente roubar a carteira.

Nesse ponto, a última linha de proteção são as travas biométricas, como as digitais. Como não consegue interagir com ela, o código malicioso é configurado para evitar e minimizar interações que exijam esse tipo de segurança. No entanto, caso o usuário não tenha configurado esse recurso, os criminosos poderiam realizar transações não autorizadas com facilidade.

Como se proteger do BankBot-YNRK e outros trojans bancários

Em sistemas operacionais Android, a primeira linha de defesa contra ameaças é não instalar aplicativos a partir de fontes desconhecidas – em outras palavras, os popularmente conhecidos “APKs”. Sem o sistema de verificação inicial da Play Store, o usuário que se aventurar com instalações arriscadas ficam a mercê de análises de segurança apenas após iniciar o aplicativo.

Contudo, o BankBot-YNRK, assim como muitas outras ameaças do tipo, possui sistemas elaborados para burlar essas medidas de segurança. Um exemplo disso é o fato dele se camuflar como um aplicativo legítimo do governo indiano e, assim, passar despercebido entre usuários ou análises automatizadas.

 

Ele aparece nestes APKs:

  • com.westpacb4a.payqingynrk1b4a
  • com.westpacf78.payqingynrk1f78
  • com.westpac91a.payqingynrk191a

Quer acompanhar mais conteúdos sobre segurança digital? Siga o TecMundo nas redes sociais e não perca nenhuma novidade. Aproveite também para se inscrever em nossa newsletter e no canal do YouTube para receber as últimas notícias sobre tecnologia e cibersegurança.

Autor: TechMundo

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Em alta agora

Bocejo: bocejamos quando vemos alguém bocejando! A explicação vai te surpreender? 03/08
fotografia de um prato de massas em uma mesa posta
Fotografia de Alimentos as 5 dicas mais importantes para ter exito na profissão 20/08/25
sonham - moça sonhando e sorrindo deitada na cama
Sonho: As pessoas sonham em cores ou em preto e branco? – 22/08/2025
foto dos diversos imóveis vista area de Goiania
O que pesa na escolha do imóvel ideal em Goiânia? 31/07/25