Novo trojan de acesso remoto ameaça ecossistema Android

A empresa de cibersegurança europeia ESET emitiu um alerta global sobre a descoberta de um novo trojan de acesso remoto que compromete a segurança de dispositivos Android através de táticas avançadas de engenharia social. A ameaça destaca-se pela capacidade de recolha de dados sensíveis e pela captura integral da atividade do utilizador à distância. Ao contrário das ferramentas convencionais focadas no roubo de credenciais bancárias, este código permite assumir a gestão remota completa do equipamento afetado.

Mecanismo de distribuição assenta em engenharia social e APKs personalizados

“O BTMOB mostra como o smartphone pode deixar de ser apenas um alvo de fraude para passar a ser um ponto de controlo do atacante. Quando o utilizador instala uma aplicação falsa e entrega permissões críticas, está potencialmente a expor não só os seus dados, mas toda a atividade que mantém no dispositivo”, afirma Ricardo Neves, Responsável de Comunicação da ESET Portugal.

O processo de infeção tem início com o redirecionamento das vítimas para páginas de phishing que replicam a identidade visual de serviços legítimos, como plataformas de streaming ou sistemas de mineração de criptomoedas. A partir destes endereços, os utilizadores acedem a lojas de aplicações falsas concebidas para simular repositórios oficiais, como a Google Play Store, onde realizam a descarga de ficheiros de instalação maliciosos em formato APK.

A análise técnica conduzida pela equipa de investigadores da ESET indica que as primeiras detecções deste trojan de acesso remoto ocorreram em território brasileiro. Adicionalmente, registos partilhados pelo analista Germán Fernández Bacian documentam a atividade do grupo na Argentina, com a falsificação direta do portal oficial da agência governamental ARCA. O potencial de expansão geográfica desta infraestrutura permanece elevado devido à flexibilidade do modelo de distribuição.

Abuso dos Serviços de Acessibilidade eleva privilégios no sistema

Uma vez concluída a instalação no dispositivo alvo, este trojan de acesso remoto inicia de forma imediata de tentativas para obter permissões administrativas elevadas. O vetor crítico para a consolidação do ataque reside no abuso sistemático dos Serviços de Acessibilidade do sistema operativo Android. Esta funcionalidade legítima, desenhada para apoiar utilizadores com necessidades especiais, permite que a aplicação maliciosa execute ações automatizadas sem que seja necessária qualquer interação ou consentimento adicional por parte do utilizador do telemóvel.

O ecossistema criminoso associado a esta campanha opera sob a modalidade de Malware-as-a-Service (MaaS). Os criadores disponibilizam uma ferramenta de automatização que permite gerar novas variantes do ficheiro APK sem a exigência de conhecimentos avançados em programação. A comercialização do produto inclui canais de venda estruturados e serviços dedicados de suporte técnico, fatores que aceleram de forma significativa a circulação deste trojan de acesso remoto em múltiplos mercados.

FAQ – Perguntas frequentes

Pontos principais

• Controlo remoto total: O código malicioso ultrapassa as funções dos trojans bancários comuns e permite gerir remotamente o smartphone afetado.
• Distribuição profissional: A ameaça opera como um serviço comercial com geradores automáticos de APKs e canais de suporte técnico para compradores.
• Abuso de acessibilidade: A exploração dos Serviços de Acessibilidade do Android serve para automatizar ações e contornar restrições de segurança do sistema.
• Uso de repositórios falsos: Os atacantes replicam com precisão o design de lojas oficiais e portais governamentais para enganar as vítimas.

Outros artigos interessantes:

• Google anuncia o AI Threat Defense
• Palavras-passe fracas continuam a expor milhões de utilizadores a riscos digitais
• Prompt injection: o ataque que engana a IA