Virus que poderia roubar informações bancárias é encontrado no Google Code

 Virus que poderia roubar informações bancárias é encontrado no Google Code 

A Trend Micro informou que localizou, no Brasil, um malware desenvolvido em linguagem Java que faz download do malware BANKER a partir de um projeto recém-criado denominado "flashplayerwindows", que – naturalmente – não tem nenhuma relação com a Adobe.
O arquivo - detectado como JAVA_DLOAD.AFJ é um arquivo compilado que faz o download e executa o “AdobeFlashPlayer.exe”, que foi verificado ser malicioso (e detectado como TROJ_BANLOAD.JFK). Uma vez executado, o trojan conecta com o Google Code (que é um site de código aberto oficial do Google destinado a desenvolvedores para que hospedem o código fonte do seu programa e arquivos relacionados, principalmente em formato de texto) para efetuar o download de outros arquivos. As pessoas por trás dessa ameaça devem ter realizado o upload desses arquivos na página do Google Code
, os quais possuem - claramente - variáveis do BANKER.

Esses malwares são conhecidos por roubar informações bancárias e de email. Tipicamente, eles executam sua rotina de roubo de dados ao fazer uso de sites de phishing que se parecem com sites bancários, para atrair os usuários e divulgar suas informações. Uma vez tendo acessado esses dados, eles podem usá-los para iniciar transações não autorizadas como transferências de valores.

Anteriormente, o BANKER tinha sido encontrado hospedado em sites do Governo Brasileiro, o que afetou usuários do Brasil, EUA e Angola.

Além do perigo do BANKER, o uso de um site conhecido, como o Google Code, é um bom disfarce para os cibercriminosos. O malware sendo hospedado em um site oficial do Google significa que ao baixar o arquivo malicioso, ele vai ser criptografado com certificados SSL válidos, que podem burlar as tecnologias de segurança tradicionais. Como o Google é um domínio legítimo e respeitado, serviços de reputação web tradicionais podem acabar não impedindo o download.

Se essa ameaça parece familiar, é porque o abuso de sites de projetos open-source já foi cometido antes. Em junho passado, a Trend Micro publicou em seu blog as variáveis GAMARUE sendo hospedados no SourceForge que - como o Google Code - é popular entre desenvolvedores e usuários.

Este incidente mostra que, como a Trend Micro já havia previsto para 2013, legítimos provedores de nuvem, como Google Code, são suscetíveis de serem atacados este ano. Com isso, podemos esperar que casos semelhantes irão aparecer (e aumentar) nos próximos dias.

Por fim, a  Trend Micro informou ainda que os arquivos não estão mais disponíveis no Google Code.