Pesquisadores alertam para uma campanha ativa de malware Android chamada deVixor, que agrega funcionalidades de roubo de credenciais bancárias, interceptação de SMS e um módulo de bloqueio/extorsão. A operação exibe desenvolvimento contínuo e controle por infraestrutura baseada em Telegram e Firebase.
Descoberta e escopo
Relatório publicado pela Cyber Security News, baseado em análises da Cyble, identifica mais de 700 amostras de deVixor desde outubro de 2025, evidenciando uma campanha ativa. O malware tem foco regional em instituições financeiras do Irã e em exchanges de criptomoedas, mas as técnicas e o grau de sofisticação representam risco mais amplo para usuários móveis que baixem APKs fora de lojas oficiais.
Vetor e distribuição
Operadores usam sites fraudulentos que se fazem passar por revendas automotivas oferecendo descontos para atrair vítimas a instalar um APK. A infraestrutura de comando e controle exibe separação: Firebase é usado para receber comandos, enquanto um servidor distinto coleta dados exfiltrados. A operação é gerida via canais/updates em Telegram, permitindo deploy e atualização rápidos.
Capacidades técnicas
- Interceptação de SMS: o malware varre milhares de mensagens buscando padrões (regex) que indiquem OTPs, números de cartão e saldos para bancos iranianos e exchanges.
- WebView + JavaScript injection: páginas de phishing mimetizam interfaces bancárias; o JavaScript injetado captura entradas do usuário (logins, senhas) por meio de WebView.
- Módulo de ransomware/lockscreen: sob comando, o malware bloqueia a tela do dispositivo e exige 50 TRX (TRON) como pagamento, mostrando o endereço da carteira do atacante. Capturas de tela do canal do threat actor mostram dispositivos efetivamente travados.
Evidências, alcance e limitações
Cyble analysts noted que o projeto vem evoluindo com novas versões e técnicas de evasão. O relatório documenta alvos específicos (mais de 20 instituições, incluindo Bank Melli Iran, Bank Mellat, Binance e Ramzinex), mas não há confirmação pública de impacto massivo fora das amostras analisadas. Não foram encontradas informações sobre exploração direcionada a empresas brasileiras ou uso direcionado a infraestruturas críticas.
Implicações e recomendações para defesa
Para times de defesa móvel e SOCs, as recomendações imediatas são:
- Bloquear fontes de APKs não oficiais via MDM/UEBA e políticas de instalação restritas;
- Monitorar uso de Firebase e conexões para domínios suspeitos em dispositivos corporativos;
- Implementar detecção de comportamento: acesso a SMS, uso de WebView para formularmos sensíveis e chamadas para APIs de bloqueio de tela;
- Educação a usuários sobre instalação de apps apenas via lojas oficiais e checagem de URLs promocionais.
Observação final
O relatório documenta sofisticação crescente no ecossistema Android: combinação de credential‑stealing com extorsão aumenta o risco financeiro direto a usuários finais. Onde faltam dados — por exemplo, métricas de vítimas confirmadas em escala — o material não oferece números além das amostras coletadas.