Vírus para Android rouba dados e pode se “transformar” em ransomware

Um malware amplamente capaz em tarefas de roubo de dados e captura de informações foi descoberto em sites suspeitos, que entregam supostas versões gratuitas (e maliciosas) de apps para Android. O vírus batizado de Daam realiza ações de acordo com as ordens recebidas pelos criminosos e segundo características dos aparelhos infectados, podendo agir também como ransomware caso necessário.

• Como fazer uma checagem de segurança no Android
• Por que ainda tem vírus na Play Store? Conversamos com o Google para entender

Nove sites eram usados para distribuir as versões maliciosas de aplicativos conhecidos, que entregavam as funções esperadas pelo usuário mas também possibilitavam a instalação do Daam. A oferta era de edições gratuitas dos softwares que, em alguns casos, nem mesmo são pagos na Google Play Store. Eram os seguintes:

• Psiphon: um cliente de VPN focado no uso da internet de forma privada e na quebra de bloqueios regionais;
• Boulders: aparentemente uma cópia do game Boulder Dash, onde os jogadores exploram uma mina em busca de tesouros;
• Currency Pro: conversor de moedas internacionais.

Ao serem instalados e receberem permissões de acesso completo pelo usuário, o vírus realizava múltiplas tarefas envolvendo o roubo de dados e interceptações de informações. Altamente capaz, consegue desativar softwares de segurança e outros processos que estejam rodando no celular, enquanto ganha acesso a todos os seus recursos, roubando dados do usuário, senhas do navegador, listas de contatos e imagens da galeria, além de gravar chamadas telefônicas e tirar screenshot da tela.

De acordo com os especialistas em segurança da CloudSEK, responsáveis pela análise do Daam, as funcionalidades maliciosas eram ativadas de acordo com o que era ordenado por um servidor de controle e, também, segundo parâmetros do próprio aparelho. Isso inclui, também, as capacidades de ransomware, com ordens podendo ser dadas para que a praga sequestre os dados, aplique criptografia e cobre resgate das vítimas.

O uso de ransomware contra usuários finais vem se tornando cada vez menos comum, enquanto o verdadeiro lucro desse tipo de atividade para os golpistas está nos ataques ao mercado corporativo. Enquanto não existem indícios desse tipo de atividade relacionada ao Daam, os pesquisadores chamam a atenção para a ampla capacidade do malware, principalmente no que tocam os ataques de engenharia social e phishing.

Outros recursos também preocuparam a CloudSEK, como a capacidade de espionar chamadas e mensagens das vítimas, bem como a possibilidade de roubo de senhas, o que possibilitaria a invasão de serviços online. Enquanto as campanhas de disseminação do Daam ainda parecem incipientes, nada indica um sinal de parada no futuro próximo, exigindo atenção dos usuários.

A recomendação é de download de soluções apenas em lojas oficiais do sistema operacional e fabricante do celular, com os utilizadores prestando atenção se estão acessando contas oficiais dos desenvolvedores da aplicação desejada. Após baixar um software, é importante também ficar de olho em permissões solicitadas e avaliar se a característica do app condiz com o acesso que está sendo solicitado.

Fonte: CloudSEK