Nesta semana, May Ying Tee e Martin Zhang, da Symantec Threat Intelligence, revelaram que haviam denunciado um grupo de 25 aplicativos Android maliciosos disponíveis na Google Play Store para o Google. No total, os aplicativos – que compartilham uma estrutura de código semelhante usada para evitar a detecção durante a triagem de segurança – foram baixados mais de 2,1 milhões de vezes da loja.
Os aplicativos, que se ocultam na tela inicial algum tempo após a instalação e começam a exibir anúncios na tela mesmo quando os aplicativos foram fechados, foram retirados da loja. Mas outros aplicativos que usam o mesmo método para evitar a triagem de segurança do Google podem permanecer.
Publicado em 22 contas de desenvolvedor diferentes, todos os aplicativos foram enviados nos últimos cinco meses. A semelhança na codificação entre os aplicativos, no entanto, sugere que os desenvolvedores “podem fazer parte do mesmo grupo organizacional ou, pelo menos, estão usando a mesma base de código-fonte” , escreveram May e Zhang .
A maioria dos aplicativos afirmava ser utilitários de fotos ou relacionados à moda. Em um caso, o aplicativo era uma duplicata de outro aplicativo legítimo de “desfoque de foto” publicado com o mesmo nome de conta de desenvolvedor – com a versão legítima em destaque na categoria “aplicativos mais populares” dos gráficos dos principais aplicativos do Google Play. “Acreditamos que o desenvolvedor cria deliberadamente uma cópia maliciosa do aplicativo de tendências na esperança de que os usuários baixem a versão maliciosa”, concluíram May e Zhang.
Telefonando para casa
No início, após a instalação, os aplicativos maliciosos aparecem normalmente na tela inicial do Android. Mas, quando iniciados, eles recuperam um arquivo de configuração remota que inclui o código malicioso. As palavras-chave associadas à atividade maliciosa, incluindo o código para ocultar o ícone do aplicativo, são criptografadas no arquivo de configuração “, que acreditamos ser um esforço por parte dos autores de malware, para evitar a detecção baseada em regras por scanners antivírus”, explicou May e Zhang.
Depois que o arquivo de configuração é baixado, o aplicativo extrai as configurações e altera seu comportamento de acordo. O aplicativo oculta seu ícone na tela inicial e começa a exibir anúncios em tela cheia, mesmo quando o aplicativo está fechado. “Os anúncios em tela cheia são exibidos em intervalos aleatórios, sem o título do aplicativo registrado na janela do anúncio, para que os usuários não tenham como saber qual aplicativo é responsável pelo comportamento”, observaram os pesquisadores da Symantec.
Obviamente, esses aplicativos maliciosos destinam-se a simplesmente gerar receita de publicidade para seus desenvolvedores. “Graças à capacidade dos aplicativos de ocultar sua presença na tela inicial, os usuários podem facilmente esquecer que os baixaram”, observaram os pesquisadores. E, sem uma maneira de vincular os anúncios a um aplicativo específico, os desenvolvedores têm um público cativo e são livres para continuar publicando anúncios nas vítimas dos usuários, sem se preocupar com a desinstalação dos aplicativos.
seja o primeiro a comentar