Por trás de uma chamada ou a gravação de um vídeo, esta ferramenta escondia um malware bancário que tinha como alvo os bancos europeus. Este malware designa-se por Razdel, e é uma variante do Bankbot, um trojan também de índole bancária e para os sistemas móveis.

De forma a evitar suspeitas, esta aplicação tem implementadas de forma correta as funcionalidades de gravação de áudio.

Funcionalidades:

- É capaz de intercetar mensagens de autenticação de dois fatores,

- Pedir permissão para que os processos a ela associados estejam no top dos processos do telemóvel e controlar dessa forma o que o utilizador vê no seu dispositivo.

- 24 horas após ser instalada, o autor do malware depois comunica com o sistema e faz o scan por quaisquer apps que tenham a ver com bancos.

- Usa o sistema da Google, as mensagens de Firebase, de forma a comunicar com os dispositivos comprometidos. Caso uma das apps almejadas esteja instalada no dispositivo, antes de fazer download do payload, pede ao user para ativar o serviço de Acessibilidade e usar a sua permissão para fazer download automaticamente do payload malicioso e executá-lo. Assim que o payload é baixado, começa a pesquisar pelas apps legítimas. Se uma delas é apanhada, o malware começa a roubar as credenciais.

Um dos aspetos mais interessantes deste malware é que o autor criou diferentes payloads para cada banco que é almejado.

A app já foi removida da Play store, portanto, este perigo para já encontra-se mitigado.

Se quiseres ler mais sobre o assunto, podes consultar este link: https://sensorstechforum.com/czech-android-trojan-impersonates-qrecorder-app/