Mais de 50 mil downloads e “suporte” a mais de 400 bancos de todo o mundo, além de carteiras de criptomoedas e fintechs. Poderiam ser os dados de uma solução financeira das boas, mas são os números relacionados ao Xenomorph, um malware bancário altamente modular que, em sua versão mais recente, atinge as principais instituições de todo o mundo, incluindo os principais nomes do setor no Brasil.

Bancos como Bradesco, Itaú, Santander e Caixa aparecem entre as mais de 400 instituições atingidas pelo Xenomorph, que tem países como Espanha, Turquia, Polônia, Estados Unidos e Austrália como seus cinco maiores alvos. Além disso, em todo o mundo, fazem parte do rol de organizações empresas de criptomoedas como Binance, Gemini, Coinbase e BitPay.

A praga que atinge o sistema operacional Android está em sua terceira e mais avançada versão, sendo distribuída a partir de aplicativos fraudulentos na Google Play Store. Segundo informações da empresa de cibersegurança ThreatFabric, o foco dos desenvolvedores da ameaça, além do lucro financeiro a partir da venda do malware como serviço em fóruns cibercriminosos, está a automação de toda a cadeia de fraudes financeiras, da contaminação de smartphones até o roubo de credenciais e o desvio de fundos dos clientes.

Como a maioria das ameaças contra a plataforma, o Xenomorph atua abusando dos Serviços de Acessibilidade do Android, por meios dos quais é capaz de exibir telas sobrepostas e obter códigos de autenticação em notificações. A chamada terceira geração do malware segue se espalhando a partir da loja Google Play na forma de um conversor de valores em criptomoedas, mas uma vez instalada no sistema, muda seu ícone para o do serviço Play Protect, do próprio Google, como forma de manter sua presença mais oculta.

Vírus bancário para Android já atinge mais de 400 bancos de todo o mundo