Trojan SMSFactory afeta gravemente os usuários do Android

Jakub Vávra 1 jun 2022

A Avast protegeu mais de 165.000 pessoas em todo o mundo nos últimos 12 meses contra o trojan SMSFactory que aumenta a conta telefônica das vítimas.

A Avast vem rastreando uma grande campanha do malware TrojanSMS que estamos chamando SMSFactory. O cavalo de Troia (trojan) SMSFactory rouba dinheiro de vítimas em todo o mundo, incluindo Rússia, Brasil, Argentina, Turquia, Ucrânia, EUA, França e Espanha, entre outros, enviando SMS premium e fazendo chamadas para números de telefone de tarifa premium.

Esses números parecem fazer parte de um esquema de conversão financeira. O SMS inclui um número de conta de quem deve receber o dinheiro pelas mensagens enviadas. Sem ser detectado, pode gerar um aumento da conta telefônica de até 7 dólares por semana (cerca de 35 reais) ou 336 dólares por ano (cerca de 1.700 reais), deixando a desagradável surpresa para suas vítimas. Uma versão que encontramos também consegue extrair as listas de contatos das vítimas, provavelmente espalhando ainda mais o malware.

Chamamos o malware de SMSFactory devido às suas funções, bem como aos nomes das classes em seu código, uma das quais se chama SMSFactory.

Conforme as nossas pesquisas, o malware está se espalhando através de malvertising, notificações push e alertas exibidos em sites que oferecem hacks de jogos, conteúdo adulto ou sites de streaming de vídeo gratuitos, distribuindo o malware disfarçado de um aplicativo onde os usuários podem acessar jogos, vídeos ou conteúdo adulto.

Uma vez instalado, o malware se esconde, tornando quase impossível para as vítimas detectarem o que está causando as cobranças em suas contas telefônicas.

Uma série de sites foram criados para espalhar e controlar remotamente o malware. A Avast protegeu mais de 165.000 usuários do SMSFactory nos últimos 12 meses (maio de 2021 a maio de 2022), sendo que os maiores números de usuários protegidos estão na Rússia, Brasil, Argentina, Turquia e Ucrânia.

Enviando $ignals silenciosamente

Os cibercriminosos por trás do SMSFactory confiam na propaganda infectada (malvertising) para impulsionar a sua campanha. Malvertising é o uso indevido de anúncios para redirecionar usuários para sites que distribuem malwares e, muitas vezes, pode aparecer em sites que oferecem streaming gratuito de filmes e programas de TV, conteúdo adulto ou agregadores de torrent, sem que deixe de aparecer também em sites convencionais.

O redirecionamento neste caso leva a um site como o da captura de tela abaixo. O usuário é solicitado a baixar um arquivo feito para se parecer com o site do qual o usuário foi redirecionado. Pode ser, por exemplo, um aplicativo de hack de jogos, de conteúdo adulto, de streaming de vídeo gratuito ou similar.

Página de destino do redirecionamento com o nome dinâmico visível no canto superior direito

Página de destino do redirecionamento com o nome dinâmico visível no canto superior direito

Exemplos de nomes diferentes para o mesmo aplicativo SMSFactory

Exemplos de nomes diferentes para o mesmo aplicativo SMSFactory

Assim que o usuário clica em Download, o aplicativo malicioso é baixado. Como vem de uma fonte de terceiros, o site solicita ao usuário que ignore o aviso Play Protect embutido no Android e prossiga com a instalação.

Capturas de tela mostrando como o SMSFactory solicita que o usuário desative/ignore o Play Protect para instalar o malwareCapturas de tela mostrando como o SMSFactory solicita que o usuário desative/ignore o Play Protect para instalar o malware

Capturas de tela mostrando como o SMSFactory solicita que o usuário desative/ignore o Play Protect para instalar o malware

Uma vez instalado, o usuário é recebido com uma tela de boas-vindas. Caso clique em aceitar, o comportamento malicioso do aplicativo será ativado. O aplicativo então apresenta ao usuário um menu básico de vídeos, conteúdo adulto e jogos que não funcionam ou não estão disponíveis na maioria das vezes.

 Exemplo de aplicativo SMSFactory na instalação

Exemplo de aplicativo SMSFactory na instalação

Preparado(a) ou não, aí vem as cobranças!

O SMSFactory usa vários truques para permanecer no dispositivo da vítima e não ser detectado. Possui um ícone em branco e consegue ocultar a sua presença do usuário removendo o ícone do aplicativo da tela inicial. Além disso, ele vem sem o nome de aplicativo, dificultando que o usuário descubra o aplicativo incorreto e o remova. É evidente que o malware depende que o usuário “esqueça” o aplicativo em seu telefone.

Ícone em branco e nenhum nome de aplicativo são usados ​​para disfarçar os aplicativos

Ícone em branco e nenhum nome de aplicativo são usados ​​para disfarçar os aplicativos

Uma vez oculto, o malware se comunica com um domínio predefinido. Ele envia um número de identificação (ID) exclusivo vinculado ao dispositivo, sua localização, número de telefone, informações da operadora e modelo do telefone. Se os cibercriminosos por trás dessa campanha considerarem o dispositivo da vítima utilizável, o domínio enviará instruções de volta ao dispositivo. Esta será uma lista de números de telefone para os quais o malware enviará SMS premium ou um número específico para o qual o aplicativo tentará ligar.

Ambos os movimentos resultarão em cobranças excessivas para a vítima. O valor exato depende do comando enviado pelos atores por trás do SMSFactory, em nossos testes vimos uma cobrança diária de 1 dólar para 10 mensagens SMS enviadas, que podem chegar a 28 dólares por mês. Supondo que as vítimas não percebam ou esqueçam que o aplicativo está instalado, isso pode resultar em uma conta de telefone exorbitante.

Na figura acima está uma parte das permissões usadas pelo SMSFactory. As permissões de SMS/MMS, bem como a CALL_PHONE, são usadas para desviar dinheiro das vítimas enviando mensagens e fazendo chamadas para números com tarifas premium.

Nesse ínterim, o SMSFactory pode acumular cobranças significativas e nem sempre será fácil que o(a) usuário(a) identifique o culpado, pois o aplicativo se esconde.

Diferentes versões do SMSFactory

O SMSFactory também parece ter várias versões diferentes com recursos adicionais, que apareceram ao lado desta campanha recente. Uma dessas variantes pode criar uma conta de administrador no dispositivo Android, dificultando a remoção. Outra variante faz uma cópia da lista de contatos da vítima e, provavelmente, a usa para disseminar ainda mais o malware. Algumas versões redirecionam os usuários para sites para instalarem outro aplicativo SMSFactory em seu dispositivo.

Apenas algumas amostras do SMSFactory contêm uma página curta de 'Condições'

Apenas algumas amostras do SMSFactory contêm uma página curta de 'Condições'

Também existem diferenças visuais entre essas versões do SMSFactory. As versões mais antigas que se apresentavam como hacks de jogos tinham um ícone, enquanto as versões mais recentes removeram completamente o ícone e o nome do aplicativo. Os termos e condições na captura de tela acima, mencionando o SMS/chamadas premium em segundo plano, estão presentes apenas em uma versão do malware que encontramos, outras versões não incluem essas informações.

O que torna único o SMSFactory

Em contraste com as recentes campanhas do TrojanSMS, como a UltimaSMS* ou Grifthorse, o vetor de disseminação do SMSFactory varia significativamente. Seus recursos furtivos, como a falta de ícone e nome do aplicativo, não seriam permitidos na Google Play Store, portanto, os cibercriminosos recorreram a uma rede razoavelmente complexa de sites para entregar e se comunicar com o malware.

Outra novidade é a tela de introdução que não requer a entrada de um número de telefone para iniciar as funções do malware, ao contrário dos malwares SMS premium anteriores. Anteriormente, o TrojanSMS inscrevia a vítima em serviços premium, agora o SMSFactory simplesmente envia SMS para números premium para roubar dinheiro.

Usuários afetados

Apesar de não estar na Play Store, segundo os nossos dados, protegemos mais 165.000 usuários do Avast contra o malware somente no ano passado. Conforme evidenciado pelo alto número de usuários afetados, com novas versões que surgiram recentemente, é justo dizer que o SMSFactory é um malware ativo e provavelmente continuará a ser disseminado.

Mapa mostrando o número de usuários Avast protegidos do SMSFactory nos últimos 12 meses

Mapa mostrando o número de usuários Avast protegidos do SMSFactory nos últimos 12 meses

Como pode ser observado no mapa acima, entre as regiões em que protegemos mais usuários do Avast no último ano estão a Rússia, o Brasil, a Argentina, a Turquia e a Ucrânia. Parece que o SMSFactory não está segmentado por uma região ou país específico, seu objetivo é se espalhar para o maior número possível de dispositivos.

Dicas para evitar malwares no celular

  • Use apenas as lojas de aplicativos oficiais. O SMSFactory destaca a importância de usar lojas confiáveis para instalar aplicativos. As lojas de terceiros ou de fontes desconhecidas podem conter malwares e não são bloqueadas por uma autoridade como o Google.
     
  • Instale um antivírus em seu dispositivo móvel. Isso é especialmente importante se você deseja instalar aplicativos de fontes não oficiais. Você também pode se proteger de sites maliciosos dessa maneira. O antivírus atua como uma rede de segurança, protegendo até os usuários mais cuidadosos.
     
  • Permaneça vigilante. É importante manter a cautela ao baixar novos aplicativos, especialmente aplicativos anunciados em vídeos curtos e cativantes, ou por meio de notificações no seu navegador.
     
  • Desative ou limite o acesso a SMS premium na sua operadora. Embora existam usos legítimos para os SMS premium, campanhas recentes de malwares via SMS mostram a importância do controle sobre possíveis cobranças na conta de telefone de um usuário. Desabilitar os recursos premium de SMS ou pelo menos definir um limite bloqueia significativamente o potencial impacto das campanhas TrojanSMS. Esta etapa é especialmente importante em telefones de crianças e adolescentes.

Quer saber mais? Explore a lista de IOCs SMSFactory*.


A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.

--> -->