Recentemente, foram identificados aplicativos Android maliciosos que se disfarçam de plataformas bem conhecidas como Google, Instagram, Snapchat e WhatsApp para roubar credenciais de usuários. De acordo com um relatório da equipe de pesquisa de ameaças SonicWall, esses aplicativos utilizam ícones de aplicativos Android famosos para enganar os usuários e induzi-los a instalar o software malicioso em seus dispositivos.

A forma de distribuição desses aplicativos ainda não está clara, mas uma vez instalados, eles solicitam aos usuários permissões para acessar os serviços de acessibilidade e a API do administrador do dispositivo, uma característica agora obsoleta que oferece funcionalidades de administração do sistema no nível do dispositivo. Ao obter essas permissões, o aplicativo mal-intencionado consegue controlar o dispositivo, possibilitando desde o roubo de dados até a implantação de malware sem o conhecimento das vítimas.

O malware estabelece conexões com um servidor de comando e controle (C2) para receber comandos que permitem acessar listas de contatos, mensagens SMS, registros de chamadas, lista de aplicativos instalados, enviar mensagens SMS, abrir páginas de phishing no navegador web e acionar a lanterna da câmera. As URLs de phishing imitam as páginas de login de serviços conhecidos como Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress e Yahoo.