Vírus para Android atingiu 2,5 milhões de usuários com anúncios fraudulentos

Uma campanha de disseminação de vírus para Android atingiu mais de 2,5 milhões de usuários do sistema operacional, a partir de 43 aplicativos fraudulentos. Os softwares estavam disponíveis na Google Play Store e exibiam anúncios sob a tela bloqueada dos smartphones, gerando lucros para os cibercriminosos e expondo as vítimas a rastreamento e redução da vida útil da bateria.

• 5 ataques mais populares contra celulares Android e iOS
• Por que ainda tem vírus na Play Store? Conversamos com o Google para entender

Softwares de streaming de mídia, players de música, utilitários e agregadores de notícias estavam entre os envolvidos na campanha, que parecia ter usuários da Coreia do Sul como alvo principal. Os softwares efetivamente cumpriam o prometido, mas também traziam o elemento malicioso que somente era ativado semanas depois da instalação, como forma de reduzir a chance de detecção e garantir permanência no dispositivo.

Na configuração padrão do Android, os aplicativos entram em suspensão quanto o aparelho é bloqueado, ficando sem acesso a recursos de processamento ou rede. A rede criminosa, entretanto, se aproveitava da desatenção dos usuários para solicitar permissões e entrar em uma lista de exclusão, o que possibilitava o carregamento de anúncios fraudulentos mesmo com a tela desligada, para gerar cliques fraudulentos e renda para os bandidos.

Todo o sistema era desativado assim que o celular voltava a ser usado, mas os especialistas da McAfee afirmam que ainda seria possível ver as propagandas sendo encerrada rapidamente após o desbloqueio. De acordo com a empresa de segurança, que expôs o esquema, outros indícios de exploração aparecem no registro de consumo de bateria e rede, além da própria percepção do usuário de que a autonomia foi reduzida de forma significativa.

Vírus também podia levar a roubo de dados e dinheiro

De acordo com a McAfee, os anúncios exibidos utilizavam os recursos de localização do smartphone, podendo expor os usuários a novos golpes. Além disso, o malware também possui um módulo capaz de exibir telas sobrepostas sobre outros aplicativos, uma tática bastante comum em golpes que envolvem o roubo de credenciais bancárias.

Enquanto esse segundo comportamento não foi visto nas amostras analisadas pelos pesquisadores, o relatório aponta que ele estaria pronto para ser usado. O app poderia receber atualizações a partir de armazenamento na nuvem, com servidores sob o controle dos bandidos de onde também vinham os comandos relacionados ao período em que o vírus permaneceria dormente antes de agir.

A rede de aplicativos foi retirada do ar depois que a McAfee entrou em contato com o Google sobre o assunto. Entretanto, quem fez o download das aplicações segue em risco, com a recomendação sendo a desinstalação e realização de uma varredura de segurança no smartphone, em busca de sinais de vírus e comprometimentos.

De forma geral, aos usuários do Android, a dica é sempre procurar apps de desenvolvedores legítimos e reconhecidos, que tenham bons reviews não apenas na Google Play Store, mas também na imprensa. O ideal é evitar o download de softwares fora das fontes oficiais e tomar atitudes ao notar qualquer comportamento estranho no aparelho, como pedidos indevidos de permissões de acesso a recursos, consumo demasiado de bateria ou rede e aparição de propagandas onde elas não deveriam estar.

Fonte: McAfee