Um novo e perigoso malware para Android foi identificado, com a capacidade de esvaziar carteiras de criptomoedas de forma completamente indetectável.
Batizado pela empresa de cibersegurança Cyfirma de “Android/BankBot-YNRK”, este trojan bancário foi detectado inicialmente afetando usuários do sistema operacional do Google na Indonésia e em outros países do sudeste asiático.
A Ação Silenciosa do Trojan
O que diferencia este malware é sua ação furtiva: ele foi programado para desativar e ocultar qualquer tipo de notificação que pudesse alertar o usuário sobre movimentações suspeitas.
Ao neutralizar os alertas, o trojan impede que a vítima perceba atividades criminosas, como transações e saídas de fundos, que ocorrem silenciosamente em segundo plano, causando grandes prejuízos antes mesmo de serem notadas.
Controle Total Através de Recursos de Acessibilidade
O malware explora os recursos de acessibilidade do Android para garantir que os cibercriminosos obtenham controle absoluto do dispositivo. É através desse acesso que dados bancários, senhas e chaves de criptomoedas são roubados sem que o usuário perceba, uma vez que o software consegue ocultar suas atividades, persistindo mesmo após uma possível reinicialização do aparelho.
Análises da Cyfirma indicam que o trojan foca principalmente em dispositivos rodando Android 13 e versões inferiores, que fornecem as permissões necessárias para o acesso criminoso.
Distribuição e Engano (Phishing)
Embora a Cyfirma não tenha detalhado os métodos de distribuição, três amostras do malware foram encontradas em páginas falsas que imitavam a interface do “Identitas Kependudukan Digital”, a versão digital do documento de identidade da Indonésia.
Essa prática sugere que o vírus é introduzido no dispositivo através da instalação manual de arquivos APK baixados fora das lojas oficiais de aplicativos. Ao finalizar a instalação, o malware solicita autorização de acesso, usando a credibilidade governamental simulada para enganar a vítima com uma falsa “verificação de dados pessoais”.
Durante essa simulação de verificação, o software desativa qualquer recurso de áudio, incluindo chamadas e notificações. Em segundo plano, aproveita o tempo para roubar informações bancárias e limpar carteiras de criptomoeda, mirando moedas como Bitcoin, Ethereum, Litecoin e Solana.
Captura de Imagens em Tempo Real
A capacidade de desativar alertas não é a única funcionalidade preocupante. O Android/BankBot-YNRK também é capaz de capturar imagens em tempo real do dispositivo infectado.
Esse recurso permite que o atacante mapeie o layout dos aplicativos bancários instalados, localizando senhas e botões essenciais para liberar o acesso. Dessa forma, é possível automatizar o roubo de credenciais e a realização de grandes transações bancárias, tudo sem o consentimento ou conhecimento do usuário.