Cuidado: Aplicativos maliciosos estão roubando credenciais bancárias no iOS e Android por meio de nova técnica de phishing
Uma nova onda de ataques de phishing surgiu, colocando usuários de iOS e Android em risco significativo. A ESET, uma empresa de segurança, soou o alarme sobre uma tática sofisticada de phishing que ignora medidas de segurança padrão, potencialmente comprometendo as credenciais bancárias de inúmeros usuários.
Os cibercriminosos desenvolveram uma estratégia enganosa que utiliza Progressive Web Applications (PWAs) e WebAPKs — aplicativos baseados na web projetados para imitar software bancário legítimo. Esses aplicativos maliciosos são projetados para parecer e funcionar como aplicativos bancários móveis genuínos, mas seu verdadeiro propósito é roubar suas informações confidenciais.
Em dispositivos iOS, os usuários estão sendo enganados para adicionar PWAs às suas telas iniciais, acreditando que são aplicativos confiáveis. Usuários do Android enfrentam uma ameaça ainda mais insidiosa: WebAPKs. Esses aplicativos podem se disfarçar como aplicativos nativos, parecendo ser baixados do Google Play sem disparar nenhum dos avisos de segurança usuais. Surpreendentemente, mesmo que um usuário não tenha permitido a instalação de aplicativos de terceiros, esses WebAPKs ainda podem ignorar essas configurações, obscurecendo ainda mais sua intenção maliciosa.
Uma vez instalados, esses aplicativos fraudulentos solicitam que os usuários insiram suas credenciais bancárias sob o pretexto de acessar suas contas. Cada pedaço de informação inserido é imediatamente enviado aos servidores de comando e controle (C&C) dos invasores, dando aos cibercriminosos acesso irrestrito às contas bancárias das vítimas.
Os ataques, que supostamente começaram no final de 2023, já tiveram como alvo usuários de serviços bancários móveis na República Tcheca, Hungria e Geórgia. No entanto, o potencial dessa tática de phishing se espalhar globalmente é real e alarmante. A ESET alerta que os invasores provavelmente desenvolverão mais aplicativos imitadores, tornando cada vez mais difícil para os usuários distinguir entre aplicativos legítimos e fraudulentos.
Essa ameaça em evolução serve como um lembrete severo para ser vigilante e cauteloso. Se você receber qualquer solicitação para instalar ou atualizar um aplicativo bancário, verifique sua autenticidade por meio de canais oficiais. Sua segurança financeira pode depender disso.
