BankBot-YNRK: trojan bancário para Android burla acessibilidade e mira dados financeiros e criptomoedas

Um novo trojan bancário, identificado como BankBot-YNRK, foi analisado por especialistas em segurança digital após ser detectado em dispositivos com Android 13 e versões anteriores. O código malicioso emprega uma vulnerabilidade nos recursos de acessibilidade do sistema operacional para contornar solicitações de permissão e obter acesso direto a informações confidenciais, como credenciais bancárias e dados de carteiras de criptomoedas. Desenvolvido com técnicas de verificação de ambiente, persistência avançada e comunicação constante com servidores de comando, o malware amplia o risco para usuários que instalam aplicativos fora da loja oficial ou não ativam camadas de autenticação biométrica.

Vetor de ataque e sistemas afetados

A campanha observada restringe-se aos smartphones e tablets que executam Android 13 ou qualquer versão anterior. Esses dispositivos mantêm, por padrão, o serviço de acessibilidade destinado a usuários com necessidades especiais. O BankBot-YNRK explora exatamente esse componente: ao acionar a vulnerabilidade, o trojan encaminha o usuário até a tela de configurações correspondentes e, em seguida, solicita a ativação de permissões de acessibilidade. Uma vez concedidas, tais permissões funcionam como privilégios administrativos, permitindo que o aplicativo malicioso leia o conteúdo da tela, controle gestos e simule interações – funcionalidades normalmente vetadas a softwares comuns.

Por meio desse artifício, o criminoso elimina a barreira convencional de consentimento individual para cada ação sensível. Credenciais bancárias, códigos temporários de autenticação e demais dados que apareçam visualmente passam a ser capturados sem que alertas sejam exibidos. A ausência de notificações adicionais potencializa o grau de exposição, sustentando o enfoque financeiro da ameaça.

Primeiros passos após a infecção

Logo após a instalação, o BankBot-YNRK executa rotinas de sondagem do ambiente. O objetivo é confirmar se o aplicativo está em um dispositivo físico ou emulado. Essa distinção reduz a chance de o malware ser analisado em laboratórios de segurança que utilizam emuladores, prática comum na detecção automatizada. O trojan verifica ainda o modelo e a fabricante do aparelho, empregando listas pré-definidas que contemplam marcas consolidadas como Oppo, Samsung e Google.

Ao reconhecer o hardware, o código ajusta parâmetros internos para adequar o ataque ao contexto detectado. Essa personalização inclui módulos que aproveitam particularidades de cada fabricante, aumentando a eficácia das rotinas de coleta de dados ou de manipulação de aplicativos financeiros nativos.

Mecanismos de persistência e camuflagem

Com o ambiente catalogado, o BankBot-YNRK passa a ocultar sua presença. O trojan desativa as notificações de diversos aplicativos, silencia perfis de som e ajusta o JobScheduler do Android, componente responsável por gerenciar tarefas em segundo plano. Essa alteração garante que o malware seja iniciado automaticamente junto com o sistema operacional e mantenha uma conexão de rede ativa para receber instruções remotas.

Além da ocultação local, o trojan ainda opera de forma silenciosa quando interage com servidores de comando e controle (C2). Uma vez conectado, o dispositivo infectado pode receber solicitações externas sem exibir indicadores visíveis ao usuário. A função OPEN_ACCESSIBILITY, por exemplo, é enviada pelo C2 para reabrir a tela de permissões caso o usuário a revogue, restabelecendo privilégios administrativos e mantendo o ciclo de comprometimento.

Conjunto de comandos remotos disponíveis

A partir da infraestrutura C2, os criminosos obtêm um leque amplo de possibilidades para manipular o aparelho comprometido:

Gerenciamento de aplicativos: instalação e remoção de APKs, atualização forçada e execução de apps específicos.

Interação com o dispositivo: desbloqueio de tela, navegação entre tela inicial, botão voltar, aplicativos recentes e painel de notificações, além da simulação de toques, deslizes ou outros gestos.

Exfiltração de dados: extração de lista de contatos, mensagens SMS, inventário de aplicativos instalados, status e localização em tempo real.

Manipulação de comunicações: redirecionamento ou cancelamento de chamadas, envio de SMS não autorizado.

Mídia e interface: captura de fotografias utilizando a câmera, ocultação de janelas flutuantes e inserção de texto em campos de entrada para forçar inserções ilegítimas.

Gerenciamento de arquivos: download de conteúdos externos, execução de arquivos locais e controle sobre transferências pendentes.

Ameaça direcionada a carteiras digitais e criptomoedas

A característica que consolida o BankBot-YNRK como um trojan bancário de alto risco é a capacidade de abrir aplicativos de carteira digital em intervalos regulares. Monitorando a tela em busca de informações sensíveis, o malware captura detalhes de transações, saldos e, principalmente, as seed phrases – combinações de palavras utilizadas para restaurar carteiras de criptomoedas. De posse dessa sequência, o operador malicioso pode mover ativos para endereços sob seu controle.

Os controles biométricos, como digitais ou reconhecimento facial, representam o último entrave. O trojan não interage diretamente com esses métodos e, por isso, limita-se a contornar operações que exijam autenticação biométrica. Caso o usuário não tenha configurado essa proteção, o processo de transferência indevida de fundos torna-se trivial para o atacante.

Disfarces utilizados pelo malware

Para chegar aos dispositivos-alvo, o BankBot-YNRK assume a identidade visual de aplicativos aparentemente legítimos. Uma das variações observadas se apresenta como software de serviço governamental indiano, estratégia que eleva a taxa de instalação entre vítimas que confiam na procedência do app. O camuflado também confunde sistemas de análise automática por aparentar conteúdo inofensivo.

Foram mapeados três pacotes correspondentes ao trojan: com.westpacb4a.payqingynrk1b4a, com.westpacf78.payqingynrk1f78 e com.westpac91a.payqingynrk191a. A semelhança nos nomes sugere variações regionais ou por campanha, mas a lógica de execução permanece idêntica.

Boas práticas para reduzir a exposição

A recomendação primária é evitar a instalação de arquivos APK obtidos fora da loja oficial. A Play Store realiza verificações iniciais que barram, ainda que parcialmente, programas maliciosos. Ao optar por fontes desconhecidas, o usuário renuncia a essa camada de defesa e permanece vulnerável até que um antivírus ou uma checagem manual detecte a anomalia – um cenário que o BankBot-YNRK procura subverter com mecanismos de evasão.

Além disso, manter o sistema operacional atualizado reduz a probabilidade de exploração de falhas conhecidas, ainda que o malware esteja focado em versões recentes do Android. Configurar bloqueios biométricos e revisar permissões de acessibilidade periodicamente complementam a estratégia de prevenção. Se a tela indicar algum aplicativo suspeito na lista de serviços de acessibilidade, a remoção imediata deve ser considerada, seguida de uma varredura completa com ferramenta confiável de segurança móvel.

Por fim, a atenção do usuário continua sendo componente crucial. Ícones, descrições ou funcionalidades divergentes da proposta original podem sinalizar a presença de código hostil. Diante de incongruências, apagar o aplicativo e restaurar senhas financeiras impedirá etapas posteriores da intrusão, como a exfiltração de dados ou o desvio de ativos em carteiras digitais.