Pesquisadores da Zscaler parecem ter descoberto um ladrão de informações no Android que se propaga sob o disfarce de uma atualização do Google Chrome. O malware em questão é capaz de coletar dados do usuário em registros de chamadas, trocas de mensagens, histórico de navegação e até de credenciais bancárias e de cartão de crédito antes de enviá-las para um servidor remoto.

O malware se esconde em diferentes URLs que parecem atualizações existentes reais do Google. Esses domínios têm vida curta e são regularmente atualizados e substituídos por outros novos para evitar qualquer forma de filtro de URLs. Quando um usuário acessa um site infectado, aparece um alerta avisando-o para instalar uma atualização – uma tática comum usada para parecer que é uma coisa urgente. O alerta ameaça o usuário dizendo que seu dispositivo está comprometido por um vírus e que ele só não será infectado se atualizar o sistema. Os pesquisadores também disseram “Como parte da instalação, o malware pedirá privilégios de administrador, permitindo que eles encerrem aplicações de antivírus rodando em segundo plano.”

Depois que o malware penetra no sistema, ele é capaz de espionar as comunicações entrando, saindo e até comunicações perdidas de chamadas e mensagens de texto, antes de enviá-las para seu servidor comando-e-controle. Ele também é capaz de encerrar chamadas entrando de interlocutores desconhecidos.

Além disso, o malware cria uma página maliciosa parecida com a página de pagamento legítima do Google Play Store. Informações de cartão de crédito digitadas pelo usuário podem então ser consideradas como roubadas pois o malware faz uma captura de tela e as enviam para um número na Rússia.

A postagem ainda diz, “Depois de instalado, esse ladrão de informações não pode ser removido do telefone pois o malware não permite que o usuário desative seu acesso administrativo.” Depois que o dispositivo é infectado, o único antídoto para a infecção é reiniciar o dispositivo com suas configurações de fábrica, o que pode levar a perda de vários dados salvos no dispositivo do usuário.

Embora mais investigações estarem em andamento, os pesquisadores alertam que um número imenso de URLs está ativamente distribuindo o malware. Essa é uma causa de preocupação para usuários pois qualquer vítima desavisada desse malware que rouba informações bancárias e pessoais pode se tornar uma vítima de fraude financeira e bancária, ou até mesmo de roubo de identidade.