Um novo trojan bancário para Android foi descoberto, direcionado a usuários na Índia e disfarçado como aplicativos de serviços essenciais, como pagamento de contas de gás, eletricidade e bancos. Esse malware explora a dependência diária desses serviços para enganar as vítimas e roubar dados sensíveis. Até o momento, foram registrados 419 dispositivos infectados, 4.918 mensagens SMS interceptadas e 623 entradas de informações financeiras roubadas, incluindo dados de cartões de crédito, contas bancárias e credenciais de login.

Os atacantes distribuem o malware por meio de mensagens em plataformas como WhatsApp, que possui o maior número de usuários ativos na Índia. As mensagens contêm links para APKs maliciosos que, uma vez instalados, permitem ao malware coletar dados financeiros e enviá-los para um servidor de comando e controle (C2). Enquanto isso, o aplicativo exibe mensagens falsas, como falhas de pagamento, para evitar levantar suspeitas. Para parecer confiável, o malware utiliza logotipos de plataformas populares, como o PayRup, um serviço de pagamento digital amplamente conhecido na Índia.

Após ser instalado, o aplicativo solicita permissões para acessar mensagens SMS e pede diretamente informações financeiras, como números de cartão e credenciais bancárias. Esses dados são transmitidos para o servidor C2, enquanto a vítima é enganada com mensagens indicando erro no processamento do pagamento. Além disso, o malware apresenta diferentes variantes temáticas, baseadas nos pacotes de nomes dos aplicativos maliciosos, como “gas bills”, bancos específicos (SBI, Axis Bank, ICICI) e contas de eletricidade.