Hack de Banco Android Usa LSPosed para Burlar SMS e SIM-Binding

Uma nova e sofisticada ameaça cibernética foi identificada no ecossistema Android, explorando o framework LSPosed para sequestrar aplicativos bancários e contornar mecanismos de segurança cruciais como o SIM-Binding. A técnica, apelidada de ataque “OS-Level Gaslighting” ou associada ao toolkit “Digital Lutera”, permite que criminosos realizem tomadas de conta (Account Takeovers) e transações não autorizadas em tempo real, sem modificar o código original dos aplicativos financeiros.

A Nova Técnica: Ataque no Nível do Sistema Operacional

Pesquisas recentes, notadamente da CloudSEK, revelaram que o ataque difere de malwares tradicionais que dependem de APKs adulterados ou da modificação direta dos apps bancários. Em vez disso, ele se concentra em manipular o ambiente de execução do sistema operacional Android, utilizando o LSPosed, uma ferramenta popular de modificação (rooting/hooking) que permite a injeção de módulos customizados no runtime do Android.

O cerne da exploração reside na capacidade do módulo malicioso injetado via LSPosed de interceptar e alterar processos de sistema. Isso inclui, criticamente, a intercepção de mensagens de texto (SMS) usadas para autenticação de dois fatores (2FA).

Como o “Digital Lutera” Sequestra a Verificação

O processo de ataque, que visa quebrar a confiança estabelecida pelo SIM-Binding (que vincula a conta bancária ao chip físico do celular), ocorre em etapas orquestradas:

• Instalação Inicial: A vítima é induzida a instalar um aplicativo malicioso disfarçado, frequentemente distribuído em grupos do Telegram, que solicita permissões de leitura e escrita de SMS.
• Injeção do Módulo: Uma vez no dispositivo, o toolkit utiliza o LSPosed para carregar um módulo malicioso, como o “Digital Lutera”.
• Intercepção de SMS: Quando o aplicativo bancário tenta enviar um SMS de verificação (o que o banco faz para confirmar a presença do SIM), o módulo malicioso age como um “porteiro” (bouncer): ele intercepta o SMS, impede que ele chegue à caixa de entrada do usuário, mas informa ao aplicativo bancário que o envio foi bem-sucedido.
• Exfiltração e Ação: O código de segurança real é secretamente enviado ao servidor de comando do atacante, frequentemente via Telegram.
• Fraude em Tempo Real: O criminoso, usando o código interceptado, realiza o login na conta da vítima a partir de um dispositivo totalmente diferente, muitas vezes de outro país. O ataque pode até gerar um token de vinculação de dispositivo falso, enganando o servidor do banco.

Essa abordagem garante que as assinaturas dos aplicativos permaneçam válidas e que proteções como o Google Play Protect sejam contornadas, pois o aplicativo original não foi alterado. Além disso, a persistência do gancho malicioso no nível do sistema operacional torna a remoção difícil, pois mesmo a reinstalação dos aplicativos bancários não elimina a ameaça.

Veja também:

• Aumento de Preços Xiaomi: Fim da Era Barata e Suporte Estendido a Modelos Antigos
• Assistente de IA da Meta, My Computer, opera no macOS e Windows

Quem Está em Risco e o Alcance da Ameaça

A informação mais importante para a maioria dos usuários é que este ataque não afeta smartphones Android padrão e bloqueados. A vulnerabilidade explorada exige que o dispositivo esteja “Rootado” e que o framework LSPosed esteja ativamente instalado para que os módulos maliciosos possam ser injetados no ambiente de execução.

Em contraste com malwares mais antigos que focavam em um único banco ou região, o toolkit “Digital Lutera” e técnicas similares demonstram uma capacidade de atingir centenas de aplicativos financeiros, de fintechs e de criptomoedas em múltiplas jurisdições. A atividade observada em canais do Telegram, com centenas de mensagens de login interceptadas sendo compartilhadas, sugere que a técnica já está sendo utilizada em campanhas ativas.

Vulnerabilidades de Confiança

Este tipo de ataque expõe falhas nos modelos de confiança que os bancos ainda utilizam, como a dependência de cabeçalhos SMS e sinais de dispositivo como prova de autenticidade. Ao comprometer a camada de sistema que gerencia essas comunicações, os fraudadores conseguem executar transações e redefinir PINs de pagamento sem que a vítima sequer perceba a ação em seu próprio aparelho.

Desdobramentos e Medidas de Proteção

A descoberta serve como um alerta significativo para a comunidade de segurança móvel e para usuários avançados de Android. Enquanto os usuários comuns permanecem protegidos pela arquitetura de segurança padrão do Android, aqueles que ativamente modificam seus sistemas com root precisam de vigilância redobrada.

O Que Fazer Agora

Para a grande maioria dos usuários que não modificaram o sistema operacional de seus dispositivos:

1. Mantenha o Sistema Atualizado: Garanta que seu Android e seus aplicativos bancários estejam sempre com as últimas correções de segurança.
2. Evite APKs Suspeitos: Nunca instale aplicativos de fontes não oficiais ou que prometam funcionalidades incomuns.

Para usuários com dispositivos Rootados:

• Auditoria de Módulos: Verifique imediatamente todos os módulos ativos no seu ambiente LSPosed (ou Magisk/outros frameworks de modificação).
• Desinstale Desconhecidos: Desative e desinstale qualquer módulo que você não tenha instalado intencionalmente e que não saiba a procedência.
• Troca de Senhas: Após qualquer suspeita de comprometimento, altere imediatamente as senhas de suas contas bancárias e serviços financeiros.

As instituições financeiras, por sua vez, são pressionadas a acelerar a adoção de métodos de autenticação mais robustos que não dependam exclusivamente de SMS, como chaves de acesso baseadas em hardware ou autenticação biométrica avançada, para mitigar o risco de ataques de sequestro de mensagens como este.