Os cibercriminosos se aproveitam das datas comemorativas e grandes eventos pontuais para propagar fraudes na web. Da mesma forma como ocorreu no ano passado com as ameaças para os Jogos Olímpicos, outros aplicativos móveis usaram o Dia Internacional da Mulher, que é celebrado a cada dia 08 de março, para disfarçar comportamentos maliciosos como o envio de mensagens de texto para números Premium, serviços que podem ter um alto custo econômico para as vítimas (caso não detectem ou detenham o golpe a tempo).
Trojans SMS que tentam enganar
Um exemplo desse comportamento é a amostra que analisamos a seguir. Essa variante do trojan SMS detectada pelos produtos da ESET como Android/TrojanSMS.Agent.BFK circula pela web desde meados de 2015 e aparentemente tem origem vietnamita. Depois de ser instalado, o aplicativo oferece uma sequência de telas predeterminadas para mensagens SMS em comemoração ao Dia da Mulher.
Quando o usuário tenta compartilhar uma das mensagens predeterminadas com os seus contatos, um SMS é enviado pelo dispositivo para um número Premium que pertence ao criador do aplicativo, no qual contém um determinado texto preestabelecido em seu código. Dessa forma, o desenvolvedor da ameaça consegue coletar os lucros produzidos por sua criação.
Felizmente, a mensagem de texto que é enviada para o número Premium não é eliminada do histórico de mensagens, sendo possível que um usuário (mesmo que despistado) possa vê-las em sua caixa de saída e se dar conta dos gastos que ocorrem por conta da utilização desse aplicativo.
Infelizmente esse tipo de golpe, que utiliza eventos populares para confundir aos usuários e assim conseguir uma maior quantidade de instalações, é cada vez mais comum. Fomos testemunhas de situações semelhantes quando relatamos múltiplos aplicativos falsos que se passavam pelo Pokémon GO ou quando cibercriminosos conseguiram publicar falsas versões do Dubsmash no Play Store durante o auge desse aplicativo.
Por isso, recomendamos que você tenha uma atenção especial aos aplicativos que são instalados durante eventos festivos, especialmente quando explicitamente solicitam permissões que podem significar perdas econômicas ou coleta indevida de informações. Lembre-se sempre de baixar e instalar aplicativos por meio das lojas oficiais, revisar as permissões que são exigidas e verificar se realmente condiz com a funcionalidade do mesmo, avalie a qualidade do desenvolvedor e conte com uma boa solução de segurança móvel que detecte qualquer código malicioso que possa ser baixado no dispositivo.
Também é importante ter cautela para evitar qualquer email de phishing que possa chegar durante essas datas com suposto desconto para presentes que são “bons demais para serem verdade” ou falsas promoções que se propagam por meio do WhatsApp ou outras redes sociais.
Na medida do possível, alerte as pessoas mais próximas sobre essa modalidade de golpe para que possamos ter um excelente Dia Internacional da Mulher, aproveitando a tecnologia de uma forma mais segura.
Feliz Dia Internacional das Mulheres!
