Apps com mais de 130 mil downloads no Google Play instalavam malware no celular

Mais uma vez, cibercriminosos conseguiram se valer de falhas de segurança na Google Play Store para distribuir malware. Desta vez, a pesquisadores de segurança descobriram uma campanha com um tipo de ameaça conhecida como dropper, que levava usuários a instalarem trojans bancários.

• 4 táticas mais usadas pelos cibercriminosos para decodificar senhas
• Brasil é maior alvo de ameaças para Android na América Latina

Droppers são um tipo de aplicativo que parece inofensivo, e justamente por isso passa facilmente pelos sistemas de detecção do Google Play. Por si só, eles não representam ameaça e até cumprem as funções prometidas, mas abrem um canal para instalação de outros tipos de programas malignos que podem gerar problemas.

A primeira campanha descoberta pelos pesquisadores da Threat Fabric começou no mês de outubro. Os aplicativos detectados, chamados “Codice Fiscale 2022”, usado para calcular impostos na Itália, e “File Manager Small, Lite”, um gerenciador de arquivos, pareciam inofensivos e cumpriam o que se esperava deles. No entanto, eram usados para baixar o malware SharkBot e tiveram milhares de downloads

Algum tempo após instalar os apps, o usuário receberia um alerta para instalar uma atualização falsa, que seria usada para instalar o SharkBot no celular. A vítima é direcionada para uma página que parece do Google Play, onde pode fazer o download da ameaça.

No caso do “Codice Fiscale 2022”, a versão do malware instalada visa roubar dados bancários de usuários italianos por meio da interceptação de códigos de autenticação por SMS e informações de login por meio de telas falsas. Já o gerenciador de arquivos é mais amplo, mirando usuários de Alemanha, Áustria, Austrália, Espanha, Estados Unidos, Polônia e Reino Unido.

As ameaças não param

Os pesquisadores descobriram mais uma campanha com droppers para distribuiçãode outro trojan bancário, chamado Vultur. A ameaça é operada por um grupo cibercriminoso identificado como Projeto Brunhilda.

O malware tem a capacidade e transmitir remotamente a tela do celular da vítima, além de armazenar dados digitados pelos usuários em aplicativos de mensagens e redes sociais. Os pesquisadores ficaram particularmente impressionados com o fato de que o sistema de monitoramento era inédito, possivelmente para driblar as proteções nativas do Android.

Foram três os apps participantes da campanha:

• Recover Audio, Images & Videos: 100.000 downloads
• Zetter Authentication: 10.000 downloads
• My Finances Tracker: 1.000 downloads

Assim como na campanha do SharkBot, os apps apresentavam uma tela de instalação de uma atualização falsa, mas disfarçada como um aviso do Google Play.

Fonte: Bleeping Computer