Como evitar o novo “vírus” para telemóveis, criado para roubar contas bancárias | Cibersegurança

Apesar das sucessivas camadas de protecção que a Google tem vindo a acrescentar ao Android, continuam a surgir ameaças capazes de contornar barreiras que, até recentemente, pareciam suficientemente robustas. O Sturnus é um desses casos: um malware particularmente insidioso que aposta na dissimulação e na engenharia social para operar sem levantar suspeita.

Este “vírus”, descoberto por investigadores da MTI Security e divulgado inicialmente pelo Android Authority, propaga-se sobretudo através de ficheiros enviados por aplicações de mensagens, escapando às verificações das lojas oficiais. E, uma vez instalado, transforma-se. Adopta o nome e o ícone de aplicações familiares e essenciais da Google, como o Chrome ou o Gmail, estratégia que lhe permite misturar-se discretamente no menu de aplicações.

A partir desse momento, procura obter acesso às definições de acessibilidade do telemóvel, um conjunto de funcionalidades criado para apoiar utilizadores com limitações motoras ou visuais, mas que, quando abusado, oferece controlo quase total sobre o ecrã.

Com esse acesso, o Sturnus consegue ler tudo o que é apresentado ao utilizador, incluindo conteúdos que deveriam estar protegidos por encriptação de ponta a ponta em serviços como o WhatsApp ou o Telegram. Isto porque o vírus captura o texto e as imagens depois de a mensagem ser descodificada para ser apresentada no ecrã.

Ainda mais preocupante é a capacidade de gerar sobreposições gráficas praticamente indistinguíveis das aplicações legítimas. O malware desenha máscaras digitais que se colocam sobre as aplicações bancárias reais, levando a vítima a introduzir as suas credenciais numa interface falsa. Para manter o disfarce, chega a simular ecrãs de actualização do sistema Android, mantendo o utilizador distraído enquanto actua nos bastidores.

Como evitar

A MTI Security confirma que já foram detectados casos na Europa do Sul e Central, o que coloca os utilizadores portugueses dentro do raio de acção da campanha.

Há, contudo, uma nota positiva: segundo a Google, não há registo de aplicações contaminadas com o Sturnus na Play Store e o sistema de protecção Play Protect tem conseguido impedir esta variante quando tenta chegar aos dispositivos por vias oficiais. O Sturnus, tal como outras ameaças recentes, depende sobretudo do comportamento do utilizador. A sua disseminação assenta na instalação manual de ficheiros APK, o chamado sideloading, prática que continua a ser explorada para contornar o ecossistema da loja oficial da Google.

De outro modo, para evitar este malware terá apenas de evitar a instalação de apps de fontes não oficiais, sobretudo aquelas que lhe chegam através de ligações incorporadas em mensagens ou emails. Quem apenas instala aplicações a partir da loja de apps da Google, a Play Store, estará, à partida, protegido.