App para Android vem disfarçado de gerenciador de recursos, mas é vírus espião

Uma mistura de comportamento inusitado com métodos relativamente antiquados de comprometimento dá a tônica de um novo vírus para Android, que pode ter relação com grupos cibercriminosos russos. A praga vem disfarçada de um aplicativo chamado Process Manager e, sob a premissa de ajudar a controlar o uso de recursos de um smartphone, é capaz de gravar áudio, tirar fotos, obter a localização do usuário, baixar apps e ler mensagens de texto.

• Novo vírus que rouba dados usa anúncios do Google para infectar vítimas
• Estes são os golpes mais comuns no WhatsApp; veja como se proteger

Enquanto envia as informações do usuário para um servidor sob o controle dos criminosos, a praga baixa novos apps por meio de programas de afiliação. Tais ofertas patrocinadas, em teoria, geram fundos para os bandidos e, também, podem levar ao download de novos vírus, ainda que a aplicação detectada, em si, seja apenas um sistema de monetização pelo uso do smartphone, cujo download é feito diretamente da Google Play Store.

Enquanto a substituição do ícone do malware por uma engrenagem passa a ideia de uma campanha que tenta se ocultar, não é como se o malware fizesse isso de verdade, já que roda com uma notificação constante. O alerta do Process Manager não pode ser removido pelo usuário e, caso o app seja encerrado, ele pode ser aberto de novo, automaticamente, e voltar a exibir o alerta permanente na tela — a ideia da otimização de recursos acompanha a de execução permanente, mas ainda assim, não é como se o vírus fizesse questão de se esconder.

Chamou a atenção dos pesquisadores do Lab52, responsáveis pela descoberta, o fato de a praga não usar o método mais atual para contaminação de dispositivos Android, preferindo as permissões que levantam alertas de diferentes sistemas de segurança do que o abuso da acessibilidade. Enquanto o aceite, em si, levante risco, a ideia é que seu funcionamento estranho diminua a eficácia das contaminações pelo Process Manager.

Os especialistas também associaram a campanha de contaminações, cujo vetor não pôde ser determinado, a um grupo russo chamado Turla. Enquanto a autoria, por eles, também não foi verificada, há o compartilhamento de infraestruturas usadas pelo bando, com afiliações ao governo, em operações de espionagem contra usuários e sistemas governamentais e bancários da Europa e Estados Unidos.

Como evitar ataques por apps espiões

A atenção às permissões solicitadas pelos aplicativos é um caminho para evitar contaminações desse tipo, assim como escolher bem os apps baixados. Desconfie de softwares que exijam mais do que o que prometem fazer e baixe as soluções a partir de desenvolvedores reconhecidos e com boas avaliações, somente nos marketplaces e lojas do Android e fabricantes de smartphones.

Prestar atenção a alertas sobre microfone e câmera ativados quando não deveriam, assim como notificações push permanentes, também ajuda a detectar contaminações já existentes. Também vale a pena manter softwares de segurança sempre rodando e atualizados, já que eles ajudam a detectar explorações desse tipo.

Fonte: Lab52