Este malware foi descoberto quando a Bitdefender investigava alguns downloads que continham trojans que se faziam passar por apps de vídeo ou de leitores de e-books. Bitdefender, uma empresa de cibersegurança romena que cria softwares antivírus, descobriu um novo tipo de malware que rouba passwords e informação sobre métodos de pagamento guardados no browser dos utilizadores chamado Scranos.
A empresa afirma que este software malicioso consegue também aumentar silenciosamente subscrições de canais de YouTube e aumentar as fontes de receita ao infetar os dispositivos através de capacidades rootkit. Ataca especialmente sistemas operativos Windows e, de acordo com a TechCrunch, desde que foi encontrado o primeiro caso em novembro, o número de dispositivos infetados tem vindo a aumentar.
«As motivações são estritamente comerciais (…) parecem estar interessados em espalhar este botnet para consolidar o negócio, ao infetarem o maior número possível de dispositivos e, assim, conseguirem fazer uma publicidade abusiva e distribuírem malware de terceiros», refere Bogdan Botezatu, responsável pelas operações contra ameaças da Bitdefender.
A empresa descobriu este malware quando investigava alguns downloads que continham trojans, que se faziam passar por apps de vídeo ou de leitores de e-books. As apps não eram detetadas, pois tinham uma certificação fraudulenta que enganava os computadores, «ao usarem esta técnica, os hackers têm uma maior probabilidade de infetar os seus alvos», afirma Bogdan Botezatu.
Uma vez instalado, o rootkit estabelece contacto com a sua central de comando ou servidor e faz download de mais componentes para o dispositivo infetado. Numa segunda fase, o malware injeta código no browser de Internet (Firefox, Chrome, entre outros) com o objetivo de abrir caminho para as contas de Facebook, YouTube, Amazon, Airbnb e extrair dados dos utilizadores.
A Bitdefender afirma que o malware é capaz de abrir o Google Chrome em “debugging mode” e esconde a janela no desktop e na barra de ferramentas. Ao enganar o browser, fá-lo abrir vídeos do YouTube em segundo plano, removendo-lhes o som, subscrevendo canais e clicando em anúncios - tudo a comando do servidor central. Segundo a empresa, este malware torna o computador das vítimas em “clickfarms”, capazes de gerar ilegalmente receita.
«O software procura promover de forma fraudulenta o consumo de anúncios no canal de quem os publica de forma a gerar lucro (…), neste caso são canais em expansão que recorrem a este método para crescerem mais», afirma o responsável da empresa, concluindo que «se os utilizadores tiverem a sua conta de Facebook aberta, o malware faz-se passar pelo utilizador e extrai informação da conta (…), o software consegue também contabilizar o número de amigos e páginas que o utilizador gere».