Uma nova versão do vírus XLoader, desenvolvido para aparelhos Android, consegue funcionar sozinha após ser instalada em algum celular. O vírus foi descoberto na última semana, funcionando da seguinte forma: após ser disseminado por SMS e APKs maliciosos, o vírus começa a rodar em segundo plano no celular. Após sua instalação, ele rouba dados e intercepta códigos utilizados para a autenticação de dois fatores nos aplicativos.
Leia também: Não é só deletar apps: se quer limpar seu celular Android, faça isso!
Por meio de uma mensagem de texto, o vírus é enviado como se fosse uma nova atualização do Google Chrome. Ao ser baixado, o software infectado permanece utilizando o nome do Google para solicitar autorizações ao usuário. Assim, ao permitir que ele funcione em segundo plano e gerencie o recebimento de SMS, o vírus começará a agir no celular do usuário.
O anúncio da nova variante do XLoader foi realizado pela McAfee, empresa de proteção virtual. Segundo a empresa, o Google afirmou já ter tomado medidas de proteção adicional para impedir que os malwares sejam executados de forma automática nos aparelhos Android. A expectativa é de que a proteção nativa seja disponibilizada em atualizações do sistema operacional.
Vírus funciona de forma independente
Ao contrário de outros vírus, a nova versão do XLoader funciona “sozinha”. Assim, não é necessário executar o APK para que o vírus se instale no celular. Por ser distribuído como uma atualização do Google Chrome, usuários leigos acreditam estar atualizando o aplicativo. Ao ganhar acesso à caixa de SMS, o vírus consegue se comunicar com seus servidores de controle.
Dessa forma, são enviadas informações do usuário para os servidores, enquanto novos comandos são recebidos. Segundo a McAfee, as atividades criminosas são de responsabilidade do grupo Roaming Mantis. O grupo criminoso possui como alvo os bancos e fintechs, além de já ter sido responsabilizado por ataques na Europa, Estados Unidos e Japão.
Para controlar o vírus, o Pinterest está sendo utilizado para o envio de comandos. Para isso, os criminosos possuem acesso a páginas específicas que possibilitam a localização de URLs. Por meio delas, são dadas ordens aos vírus. Por fim, o vírus consegue também coletar dados dos aparelhos, como número IMEI, serial, número de telefone, acesso a imagens e arquivos de mídia.