Uma campanha de malware no Android, que visa bancos iranianos, expandiu suas capacidades e incorporou táticas adicionais de evasão para evitar detecção.

Segundo os pesquisadores, mais de 200 aplicativos maliciosos foram associados a esta operação, com os atores de ameaça realizando também ataques de phishing contra as instituições financeiras visadas. A campanha foi inicialmente identificada em julho de 2023 pela Sophos, que detalhou um conjunto de 40 aplicativos de coleta de credenciais visando clientes do Bank Mellat, Bank Saderat, Resalat Bank e Central Bank of Iran.

O principal objetivo desses aplicativos falsos é enganar as vítimas para conceder-lhes permissões extensivas e colher credenciais de login bancário e detalhes de cartões de crédito, abusando dos serviços de acessibilidade do Android. As descobertas mais recentes mostram a evolução contínua da ameaça, não apenas em termos de um conjunto mais amplo de bancos e aplicativos de carteira de criptomoedas visados, mas também incorporando recursos anteriormente não documentados que a tornam mais potente.

Isso inclui o uso do serviço de acessibilidade para conceder permissões adicionais, interceptar mensagens SMS, impedir a desinstalação e clicar em elementos da interface do usuário. As campanhas de phishing são igualmente sofisticadas, imitando os sites reais para exfiltrar credenciais, números de contas, modelos de dispositivos e endereços IP para dois canais controlados pelos atores no Telegram.