INSS – Um malware que se passa por aplicativo do Instituto Nacional do Seguro Social (INSS) está sendo usado para infectar celulares Android no Brasil. O alerta foi divulgado pela empresa de cibersegurança Kaspersky, que identificou o vírus, chamado BeatBanker, atuando com diferentes funções criminosas — desde mineração de criptomoedas até roubo de transferências financeiras e espionagem do usuário.
O golpe começa antes mesmo da instalação do aplicativo. Criminosos criaram um site falso chamado cupomgratisfoodshop, que imita visualmente a Google Play Store. Na página, está disponível um aplicativo chamado “INSS Reembolso”, apresentado como se fosse um portal oficial do instituto para consulta de benefícios, aposentadorias e documentos previdenciários.
LEIA: Mais de 380 mil trabalhadoras são demitidas após licença-maternidade em 5 anos no Brasil
Na prática, o download instala um Trojan, tipo de malware que se disfarça de aplicativo legítimo para enganar a vítima. Depois de instalado, o BeatBanker passa a controlar o dispositivo sem que o usuário perceba.
Múltiplas camadas de ocultação
Segundo a análise da Kaspersky, o arquivo malicioso chega ao celular envolto em várias camadas de proteção que dificultam a análise por pesquisadores e ferramentas de segurança.
Em vez de gravar o código malicioso no armazenamento do celular, o vírus carrega suas funções diretamente na memória temporária do aparelho. Como muitos antivírus móveis verificam principalmente arquivos armazenados no dispositivo, essa estratégia dificulta a detecção.
O malware também consegue identificar se está sendo analisado em um ambiente de testes. Pesquisadores costumam utilizar emuladores — programas que simulam celulares em computadores — para estudar vírus. Caso o BeatBanker detecte esse tipo de ambiente, ele encerra automaticamente o próprio processo para evitar investigação.
Áudio quase imperceptível impede encerramento do processo
Uma das técnicas mais incomuns do malware envolve um arquivo de áudio quase inaudível. O vírus mantém um áudio de cinco segundos tocando continuamente em loop, com volume praticamente imperceptível para o usuário.
No sistema Android, aplicativos que estão reproduzindo mídia ativa possuem maior proteção contra encerramento automático. Isso ocorre porque o sistema entende que interromper um áudio poderia prejudicar a experiência do usuário.
O BeatBanker explora exatamente essa regra para continuar ativo. De acordo com os pesquisadores, o arquivo de áudio contém palavras em chinês, o que pode sugerir a origem ou inspiração dos criadores.
Além disso, o malware fixa uma notificação falsa de “atualização do sistema” na barra de notificações do aparelho, dificultando ainda mais o encerramento do processo malicioso.
Celular pode virar minerador de criptomoedas
Quando a vítima interage com um botão de atualização exibido em uma tela falsa da Play Store criada pelo vírus, o BeatBanker baixa um minerador de criptomoedas.
Nesse caso, o celular passa a ser usado para realizar cálculos matemáticos que validam transações na rede da criptomoeda Monero (XMR). Os criminosos recebem as recompensas da mineração sem o conhecimento do usuário.
Para evitar levantar suspeitas, o malware monitora a temperatura da bateria e o nível de carga do aparelho. Se o celular estiver aquecendo demais ou com bateria baixa, a mineração é pausada automaticamente.
Para enviar comandos aos dispositivos infectados, os criminosos utilizam o Firebase Cloud Messaging (FCM), serviço legítimo do Google usado por milhares de aplicativos para envio de notificações. Ao utilizar essa infraestrutura confiável, o tráfego malicioso se mistura a comunicações legítimas e se torna mais difícil de identificar.
Golpe altera transferências de criptomoedas
Além da mineração, o BeatBanker também pode executar ataques financeiros em tempo real. Para isso, ele solicita permissões de acessibilidade do Android — recurso originalmente criado para auxiliar pessoas com deficiência a utilizar o celular.
Com esse acesso ampliado, o malware monitora a atividade do usuário. Quando detecta que a vítima está utilizando aplicativos como Binance ou Trust Wallet para realizar transferências de USDT, criptomoeda vinculada ao dólar americano, o ataque é acionado.
O vírus exibe uma tela falsa sobre o aplicativo original e substitui silenciosamente o endereço da carteira de destino pelo endereço controlado pelos criminosos. Como transações com criptomoedas são irreversíveis, o prejuízo pode ocorrer antes que a vítima perceba a fraude.
Versões recentes ampliam controle sobre o celular
Nas versões mais recentes identificadas pela Kaspersky, o módulo bancário do BeatBanker foi substituído pelo BTMOB RAT, uma ferramenta de acesso remoto vendida no modelo MaaS (Malware como Serviço).
Nesse modelo, criminosos pagam para utilizar o software, da mesma forma que empresas contratam serviços digitais legítimos. Isso indica que diferentes grupos podem estar operando o malware ao alugar a ferramenta.
Entre as funcionalidades do BTMOB RAT estão gravação de tela em tempo real, captura de tudo o que a vítima digita, acesso às câmeras do aparelho e monitoramento da localização por GPS.
Como se proteger
A Kaspersky recomenda baixar aplicativos apenas pela Google Play Store oficial e sempre verificar o nome do desenvolvedor antes da instalação.
Também é importante analisar com atenção as permissões solicitadas pelos aplicativos, especialmente aquelas relacionadas a acessibilidade ou instalação de pacotes de terceiros.
Manter o sistema operacional do celular e o antivírus atualizados continua sendo uma das formas mais eficazes de reduzir o risco de infecção por ameaças digitais como o BeatBanker.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik)
