Pesquisadores da ESET detectaram que cibercriminosos estão aproveitando o sucesso do ChatGPT para promover aplicativos falsos que utilizam o nome do popular chatbot para infectar dispositivos com trojans bancários.
Recentemente, analisamos extensões maliciosas que usam o nome do ChatGPT para roubar cookies e mencionamos algumas das táticas enganosas que são utilizadas em relação a essa ferramenta desenvolvida pela OpenAI.
É provável que continuem surgindo sites falsos e campanhas de distribuição de malware e outros tipos de golpe, aproveitando o sucesso das ferramentas baseadas em inteligência artificial.
Leia mais: ChatGPT: como este sistema pode ser utilizado por cibercriminosos
Trojans detectados
Chameleon
É um trojan que ataca sistemas operacionais Android. Não é novo e já foi analisado por outros pesquisadores como parte de outras campanhas em que foi distribuído. A ameaça se fazia passar pelo Google, Bitcoin, aplicativos de criptomoedas, bancos e até mesmo órgãos governamentais.
Ao monitorar os sistemas da ESET, detectamos que a ameaça também utilizou o nome e a imagem do ChatGPT: no dispositivo da vítima, é instalado um aplicativo que usa o ícone do logotipo do ChatGPT, mas ao clicar para abri-lo, o ícone desaparece e nada acontece.
Imagem 1: Ícone do aplicativo malicioso que se faz passar por ChatGPT em um dispositivo infectado.
O Chameleon não apenas possui a capacidade de roubar credenciais, mas também é capaz de roubar senhas e cookies, acessar mensagens SMS e coletar, por exemplo, códigos de verificação em dois fatores (2FA), entre várias outras coisas.
Imagem 2: Dados fornecidos por uma análise deste aplicativo malicioso utilizando a ferramenta Mobsf.
Trojan Cerberus
Outro malware para Android que tem usado o nome ChatGPT é o popular trojan Cerberus. Na ESET, analisamos campanhas que distribuem esse malware para Android. O pesquisador da ESET, Lukas Stefanko, explicou em 2019, durante a conferência DefCamp, as características e a história de seu surgimento. Um ano depois de sua aparição, em 2020, o código desse malware vazou em fóruns de hacking e o malware chegou às mãos de outros atores maliciosos para uso, o que provavelmente resultou na criação de variantes desenvolvidas por outros.
Neste caso, através da telemetria da ESET, encontramos um aplicativo malicioso distribuindo uma variante desse malware que utiliza o nome do chatbot como parte de sua engenharia social.
Imagem 3: Aplicativo falso que se faz passar pelo ChatGPT e instala o trojan Cerberus.
Imagem 4: Dados fornecidos por uma análise rápida deste aplicativo no Mobsf, mostrando o nome do arquivo e os hashes.
Ao analisar o aplicativo, a primeira coisa que chama a atenção são as permissões excessivas que solicita, permitindo ao cibercriminoso obter praticamente controle total do dispositivo.
Conforme pode ser observado na Imagem 5, esse trojan é capaz de interceptar mensagens SMS, ler os contatos, acessar a câmera, a lista de contatos, o registro de chamadas, modificar áudio, obter uma lista de aplicativos instalados e muitas outras coisas mais. No caso dos SMS, essa capacidade permite obter o código de verificação em dois fatores para acessar uma conta on-line.
Imagem 5: Permissões solicitadas pelo aplicativo malicioso.
Com todos esses privilégios concedidos, o aplicativo malicioso é capaz de realizar várias ações no dispositivo infectado. Portanto, não é apenas importante evitar baixar aplicativos de repositórios não oficiais, mas também avaliar as permissões solicitadas por um aplicativo e considerar se faz sentido concedê-las com base em sua funcionalidade.
Conclusão
Está claro que os cibercriminosos estão aproveitando a popularidade do ChatGPT para distribuir malware por meio de sites e aplicativos falsos. É importante que os usuários estejam cientes dessas campanhas, para que possam tomar precauções ao instalar uma extensão ou aplicativo que pareça atraente.
Como recomendação principal, é fundamental ter um software antimalware confiável instalado nos dispositivos e manter os equipamentos e softwares que utilizamos atualizados. Se você suspeitar que seu dispositivo foi infectado por malware, recomendamos desconectá-lo da internet e procurar a ajuda de um especialista em segurança da informação.
Leia mais:
