Apps com mais de 130 mil downloads no Google Play instalavam malware no celular
Por Renato Santino • Editado por Claudio Yuge |
Mais uma vez, cibercriminosos conseguiram se valer de falhas de segurança na Google Play Store para distribuir malware. Desta vez, a pesquisadores de segurança descobriram uma campanha com um tipo de ameaça conhecida como dropper, que levava usuários a instalarem trojans bancários.
- 4 táticas mais usadas pelos cibercriminosos para decodificar senhas
- Brasil é maior alvo de ameaças para Android na América Latina
Droppers são um tipo de aplicativo que parece inofensivo, e justamente por isso passa facilmente pelos sistemas de detecção do Google Play. Por si só, eles não representam ameaça e até cumprem as funções prometidas, mas abrem um canal para instalação de outros tipos de programas malignos que podem gerar problemas.
A primeira campanha descoberta pelos pesquisadores da Threat Fabric começou no mês de outubro. Os aplicativos detectados, chamados “Codice Fiscale 2022”, usado para calcular impostos na Itália, e “File Manager Small, Lite”, um gerenciador de arquivos, pareciam inofensivos e cumpriam o que se esperava deles. No entanto, eram usados para baixar o malware SharkBot e tiveram milhares de downloads
Algum tempo após instalar os apps, o usuário receberia um alerta para instalar uma atualização falsa, que seria usada para instalar o SharkBot no celular. A vítima é direcionada para uma página que parece do Google Play, onde pode fazer o download da ameaça.
No caso do “Codice Fiscale 2022”, a versão do malware instalada visa roubar dados bancários de usuários italianos por meio da interceptação de códigos de autenticação por SMS e informações de login por meio de telas falsas. Já o gerenciador de arquivos é mais amplo, mirando usuários de Alemanha, Áustria, Austrália, Espanha, Estados Unidos, Polônia e Reino Unido.
As ameaças não param
Os pesquisadores descobriram mais uma campanha com droppers para distribuiçãode outro trojan bancário, chamado Vultur. A ameaça é operada por um grupo cibercriminoso identificado como Projeto Brunhilda.
O malware tem a capacidade e transmitir remotamente a tela do celular da vítima, além de armazenar dados digitados pelos usuários em aplicativos de mensagens e redes sociais. Os pesquisadores ficaram particularmente impressionados com o fato de que o sistema de monitoramento era inédito, possivelmente para driblar as proteções nativas do Android.
Foram três os apps participantes da campanha:
- Recover Audio, Images & Videos: 100.000 downloads
- Zetter Authentication: 10.000 downloads
- My Finances Tracker: 1.000 downloads
Assim como na campanha do SharkBot, os apps apresentavam uma tela de instalação de uma atualização falsa, mas disfarçada como um aviso do Google Play.
Fonte: Bleeping Computer