Trojan na Google Play: centanas de apps contaminados

malware-androidAconselhamos com frequência que usuários Android baixem aplicativos apenas da loja oficial. É muito mais seguro procurar aplicativos na Google Play porque todos os apps passam por controle rigoroso com diversos critérios de segurança que somente se aprovados em todos, os aplicativos são publicados.

Contudo, aplicativos intrusos se infiltraram no Google Play algumas vezes. Recentemente, em um grande incidente, mais de 400 aplicativos na Google Play (e quase 3000 em outras app stores) portavam o Trojan DressCode.

O malware tem nome engraçado por conta de sua primeira aparição: o Trojan foi detectado em agosto por pesquisadores em aplicativos de dress-up – jogos voltados para garotas. Um desses jogos foi baixado entre 100.000 a 500.000 vezes da Play. Outros aplicativos com o Trojan foram encontrados -mais de 400, por volta de 40 na Google Play. Os pesquisadores avisaram o Google e a empresa deletou os apps da loja.

Contudo, outro grupo de pesquisadores se interessou pelo Trojan e decidiu investigar mais a fundo e em diversas app stores. Dois dias depois, a equipe encontrou quase 3000 apps infectados com o DressCode; mais de 400 na Google Play. A PSafe informa ter identificado ao menos 500 apps contaminados.

A maioria dos aplicativos infectados são jogos ou aplicativos relacionados – por exemplo, apps com dicas e modificações. Entre os maliciosos haviam diversos melhoradores de performance, otimizadores, e outras pseudo-utilidades.

O maior problema com o DressCode é que ele é difícil de detectar. O código do Trojan é muito pequeno comparado com o de seu programa carregador. Talvez seja por isso que muitos dos infectados passaram no processo de aprovação do Google Play.

O que o DressCode faz?

Em geral, o objetivo do DressCode é estabelecer conexão com um servidor de comando e controle, que envia comandos ao Trojan, deixando-o inativo e tornando sua detecção naquele momento impossível. Quando o criminoso decide usar o dispositivo infectado, pode despertar o Trojan, tornando o smartphone ou tablet em um servidor proxy, e usá-lo para redirecionar o tráfego da Internet.

Como os cibercriminosos lucram com isso?

Primeiro, os dispositivos infectados podem ser usados como parte de uma botnet como caminho para certos endereços de IP. Esse método permite que criminosos gerem tráfego, clicks em banners e URLs pagos, além de organizar ataques DDoS contra sites alvo.

Segundo, se um dispositivo (digamos, um smartphone corporativo) pode acessar algumas redes locais, os autores poderiam obter acesso a toda essa rede por meio daquele único smartphone, colocando suas garras em dados sensíveis.

Esse é o caso no qual nosso conselho usual – baixe aplicativos das lojas oficiais – não é suficiente. É verdade que a Google Play tem uma taxa muito menor de aplicativos maliciosos comparados com outras lojas Android, mas 400 aplicativos infectados de uma vez não é pouca coisa. Além do mais, eles incluem módulos de grandes sucessos como Minecraft e “GTA 5”, baixados mais de 500.000 vezes.

Pode-se diminuir a lista de recomendações usuais para apenas duas coisas:

  • Tenha cuidado ao clicar em “Baixar”. Antes de instalar um aplicativo desconhecido, verifique as avaliações deixadas por usuários de maneira crítica, analise a lista de permissões com cuidado. Infelizmente, você não pode confiar nas reviews da Google Play, mas pelo menos alguma ideia elas podem dar a respeito da confiabilidade de um aplicativo;
  • Instale uma boa solução de segurança em seus aplicativos mobile.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Kaspersky blog e PSafe

One Response to Trojan na Google Play: centanas de apps contaminados

  1. C4val0Imunduu says:

    Pessoal do seumicroseguro tem alguma sugestão de aplicativos gratuitos de segurança para Android ?

%d blogueiros gostam disto: