Uma nova série de apps bancárias falsas foi encontrada na loja oficial da Google Play. Estas apps alegam poder aumentar o limite de crédito dos cartões para utilizadores de vários bancos indianos, para depois se apropriar dos detalhes dos cartões e de credenciais bancárias através de formulários falsos. Pior do que isso, os dados roubados às vítimas é depois exposto online, em texto simples, num servidor exposto.
Conforme relata o WeLiveSecurity, as apps falsas foram submetidas ao Google Play durante Junho e Julho de 2018, e foram instaladas por centenas de vítimas. As apps foram submetidas por três grupos diferentes, cada um fazendo-se passar por um banco indiano diferente: no entanto, as três apps levam a um único responsável.
Todas as apps funcionam da mesma maneira. Após executadas, apresentam um formulário e solicitam os detalhes do cartão de crédito. Se os utilizadores preencherem o formulário e clicarem em “Enviar”, são levados a um outro formulário que solicita os dados de login do homebanking. Curiosamente, apesar de todos os campos estarem marcados como “obrigatórios”, ambos os formulários podem ser submetidos em branco – um claro indício de algo suspeito.
Passadas estas fases, os utilizadores chegam a um ecrã final onde lhes é indicado que um “Executivo de Apoio ao Cliente” entrará brevemente em contacto. Escusado será dizer que nenhum contacto alguma vez é feito.
Entretanto, os dados são depois enviados em texto simples, não encriptado, para um servidor acessível a qualquer pessoa com um link para o mesmo, sem nenhum tipo de autenticação. Para as vítimas, isto agrava o problema, dado que que os seus dados não só estão disponíveis para o burlão, como para qualquer pessoas que os encontre.
Recentemente, a ESET já tinha emitido um aviso sobre outra app do mesmo cariz – a MyEtherWallet, que revelava os dados privados das carteiras virtuais das vítmias. Estas descobertas apenas realçam que é importante ter bastante cuidado ao fazer download de apps relacionadas com finanças – quer sejam de dinheiro tradicional ou virtual.