Como aplicativos com vírus para Android chegam à Google Play Store?

O Google reconheceu o carregamento de aplicativos maliciosos na Play Store como uma das principais tendências atuais de ameaças contra o sistema operacional Android. Em um relatório sobre o assunto, a empresa explicou como os cibercriminosos exploram atualizações e a disponibilidade de conteúdos online para contaminar smartphones a partir de softwares aparentemente seguros.

• Com tanto avanço na segurança, por que ciberataques continuam acontecendo?
• Como se proteger contra golpes nos anúncios do Google

A exploração conhecida como “versioning” acontece depois que o aplicativo passa pelas verificações obrigatórias de segurança. O software é publicado na loja oficial do Android sem elementos perigosos, e depois que acumula um determinado número de downloads, contamina os celulares dos usuários de uma só vez a partir da liberação de uma atualização por meio de servidores controlados pelos criminosos.

Em teoria, patches de correção e adição de recursos também passam pela verificação, com uma segunda técnica maliciosa. O carregamento de códigos dinâmicos (DCL, na sigla em inglês) faz com que a atualização acabe por ultrapassar as barreiras impostas pelo Google, entregando malware diretamente aos smartphones das vítimas, que ainda acreditam estarem usando soluções legítimas, baixadas da loja oficial.

O Google citou o vírus bancário Sharkbot como um dos principais agentes de exploração desse tipo. Rastreado por pesquisadores em segurança digital desde meados do ano passado, o malware bancário chegou a se disfarçar de antivírus para ganhar a confiança dos usuários da Google Play Store, chegando a se tornar uma das 10 ameaças mais ativas no ecossistema.

As campanhas cibercriminosas variam, mas um dos principais métodos usados pelos criminosos é o upload de versões limitadas de seus aplicativos para publicação na loja oficial do Android. Depois da instalação, um novo download é exigido dos usuários para inserção de recursos extras e, neste caso, a implantação das características maliciosas, capaz de desviar transferências de criptomoedas e roubar credenciais bancárias.

Em entrevista ao Canaltech em março deste ano, o Google já havia citado o carregamento paralelo de conteúdo como um dos vetores centrais para a disponibilização de apps perigosos na Play Store. Na ocasião, a empresa disse monitorar constantemente o que é disponibilizado na loja por meio de seu programa Play Protect, enquanto trabalha com alertas para desincentivar o uso de softwares de fora da loja oficial.

Atualizações “paralelas” vão contra termos de uso

Em seu relatório, o Google afirmou estar trabalhando ao lado da comunidade de segurança para barrar essas e outras tendências de ataques evidenciadas em seu relatório. O estudo também inclui outros elementos conhecidos como o roubo de credenciais para acesso a sistemas internos, o vazamento de códigos-fonte de aplicações e a invasão a contas na nuvem para hospedagem de conteúdo perigoso.

Além disso, a empresa disse estar fortalecendo as regras que impedem a alteração, substituição e atualização de aplicativos por fora dos sistemas da Google Play Store. Alguns formatos notoriamente usados em ataques, como JAR e DEX, também têm download bloqueado a partir de fontes externas, enquanto todo app que insistir em tais práticas será considerado malicioso.

Aos usuários, a recomendação de segurança ainda envolve o uso da Google Play Store, ou lojas oficiais de fabricantes de smartphones, como os melhores meios para o download de apps. Mesmo nelas, apenas soluções reconhecidas e de desenvolvedores confiáveis, com bons números de downloads e reviews positivos, devem ser instaladas.

Vale a pena, ainda, manter o sistema operacional sempre atualizado, bem como antivírus e outros apps de segurança ativos no smartphone. Desconfie de permissões que pareçam ir além do que é prometido por um app específico e fique atento a sinais de comprometimento como o consumo excessivo de bateria ou rede e a aparição de anúncios ou pedidos de login de forma inesperada.

Fonte: Google