Mineradores ocultos na Google Play

Quando um computador mostra sinais de lentidão, muitos culpam vírus. Todavia, no caso de smartphones, esse problema, bem como superaquecimento ou baixa performance da bateria, geralmente a principal causa atribuída é o tempo de vida útil do dispositivo. Na verdade, há uma chance de que o problema tenha outro nome – a mineração oculta (hidden mining).

Quando se trata desse assunto, poder de processamento computacional é importante. Claro, em termos de performance, dispositivos móveis não se comparam aos desktops munidos com as melhores placas de vídeo, entretanto, aos olhos dos cibercriminosos, o número de dispositivos compensa o baixo desempenho. Para os que buscam essas oportunidades, torna-se difícil ignorar os milhões de smartphones disponíveis por aí.

Infectar um smartphone com um miner é alarmante por ser tão fácil. Não é necessário que o dono saiba de sua instalação, ou sequer baixe um aplicativo de uma fonte duvidosa. Os miners ocultos podem estar camuflados por meio de download e execução de aplicações aparentemente inofensivos disponíveis na Google Play Store.

Miners na Google Play

Miners comuns que se passam por ferramentas úteis ou jogos não operam como descrito – normalmente, exibem anúncios e mineram criptomoedas de forma oculta. Todavia, a Google Play e outras lojas oficiais mantêm esses aplicativos falsos longe ou, caso consigam se infiltrar, rapidamente são encontrados e removidos. Portanto, aplicativos maliciosos do tipo são distribuídos principalmente por meio de fóruns e lojas paralelas.

Contudo, os cibercriminosos por trás dessas táticas encontram uma forma de contornar essa barreira: caso um aplicativo de fato faça o descrito, e o malware esteja escondido cuidadosamente, pode acabar escapando. Isso já ocorreu – uma tentativa de criar uma botnet com smartphones passou pela proteção da Google Play e diversas outras lojas. Os especialistas da Kaspersky Lab recentemente encontraram outros espécimes, com a diferença que dessa vez carregam miners.

A maioria dos aplicativos encontrados desse tipo eram relacionados com futebol: uma família de aplicativos entre os quais o PlacarTV, baixado mais de 100 mil vezes. Ele trazia o miner Coinhive, que obtêm moedas Monero. Trata-se de uma estratégia inteligente e de difícil detecção: com sua cabeça na partida, e afinal de contas, ver vídeos esquenta o aparelho drena a bateria, assim como a mineração, portanto, você não terá razões para desconfiar.

Os especialistas da Kaspersky também encontraram um malware desse tipo em um aplicativo de VPN gratuito chamado Vilny.net. O truque desse malware era monitorar a temperatura e bateria do dispositivo. Ele suspendia as atividades maliciosas a medida que fosse necessário evitar aquecimento e sobrecarga da bateria a fim de evitar a atenção do dono.

Fonte: Kaspersky

500 apps com malware são removidos da Google Play

Uma pesquisa publicada pela Lookout nos últimos dias indicou um cenário alarmante para os usuários do sistema Android: até há pouco tempo, ao menos 500 apps presentes da Google Play continham um spyware que abria as portar do seu celular para invasores em potencial. O pior de tudo? Juntos, esses aplicativos tinham mais de 100 milhões de downloads na plataforma.

De acordo com a firma especializada em segurança mobile, todos os softwares foram removidos recentemente pela Google, mas, possivelmente, não antes que eles causassem um belo estrago junto ao público da empresa. O fator em comum entre todos os apps analisado foi a existência de uma versão maliciosa do Igexin, uma ferramenta que facilita a conexão dos programas com redes de anunciantes.

Em sua edição feita sob medida para os cibercriminosos, o kit de desenvolvimento faz a instalação de um plugin que cria brechas no Android, permitindo que atacantes ganhem acesso remoto a uma série de dados do dispositivo. Nos casos mais sérios de invasão, era possível interceptar o histórico de ligações do indivíduo, informações do GPS, lista de aplicativos instalados no smartphone e até detalhes das redes Wi-Fi acessadas pelo aparelho.

O malware foi encontrado principalmente em jogos voltados para o público jovem, mas também marcou presença em apps de clima, rádio pela internet, editores de fotos e softwares educacionais ou de saúde. Segundo um comunicado da Gigante das Buscas, a empresa já lidou com o problema na Google Play, liberou atualizações para usuários que tenham baixado programas com o Igexin corrompido e agradeceu o apoio dos pesquisadores por ajudar a tornar sua plataforma mobile mais segura.

Fonte: Tecmundo

 

Trojan para Android escondido na Google Play

Já removido pelo Google da sua loja, malware foi baixado mais de 50 mil vezes, segundo a empresa de segurança Kaspersky Lab.

Um novo Cavalo de Troia para aparelhos Android chamou a atenção dos pesquisadores de segurança da Kaspersky Lab na última semana. Distribuído como um jogo pela loja oficial da plataforma, a Google Play Store, o malware consegue obter direito de acesso à raiz do smartphone, segundo a companhia de segurança.

Além disso, a ameaça também pode assumir o controle do aparelho Android ao injetar código malicioso na biblioteca do sistema. Ao conseguir isso, o trojan pode excluir o acesso à raiz, em uma tentativa de evitar a sua detecção.

Segundo a Kaspersky, o Cavalo de Troia em questão já foi baixado mais de 50 mil vezes pela Google Play Store desde o último mês de março. Depois de ficar sabendo da ameaça pela Kaspersky, o Google retirou a ameaça da Play Store.

“Acreditamos ter descoberto esse malware em um estágio bastante precoce. Nossa análise mostra que os módulos maliciosos informam cada movimento aos invasores, e existem técnicas capazes de violar os dispositivos infectados. A rapidez é essencial para evitar um ataque massivo e perigoso”, explica o analista sênior de malware da Kaspersky Lab, Roman Unuchek.

O que fazer

Os usuários que suspeitam ter sido infectados pelo Dvmap devem fazer backup de todos os seus dados e executar uma restauração dos dados de fábrica, conforme a empresa.

Fonte: PCWorld

Mais de 100 apps estavam contaminados na Google Play

apps_infectadosA Palo Alto Networks anunciou, via post em blog, que descobriu 132 aplicativos na Google Play que estavam infectados com “iFrames pequenos e escondidos”. Segundo a companhia, eles linkavam para um domínio malicioso em páginas HTML — e, infelizmente, o aplicativo mais popular já tinha mais de 10 mil downloads realizados em smartphones.

Sobre os desenvolvedores dos 132 apps, a Palo Alto comentou o seguinte: “Nossa investigação indica que os desenvolvedores desses apps não são culpados, na verdade, eles devem ser vítimas.

Acreditamos que alguma plataforma de desenvolvimento de apps foi infectada com malwares que buscam por páginas HTML e injetam conteúdo malicioso no final das páginas HTML que encontra”.

De acordo com a empresa de segurança, o pessoal da Google Security Team foi notificado e todos os aplicativos com conteúdo malicioso já foram retirados da Google Play.

Mais sobre o malware

O “interessante” dessa história é que o apps infectados na Google Play, na verdade, tinham o malware desenvolvido para atacar computadores Windows. Ainda, que os iFrames linkavam para domínios poloneses que foram derrubados pelas autoridades em 2013 — isso serviria como prova de que a culpa não era dos desenvolvedores.

A questão aqui, contudo, é mais perturbadora: será que o processo que busca por malware nos apps da Google Play está funcionando como deveria? Veja, nesses 132 apps, todos passaram e não receberam “flags” indicando vírus pelo sistema. Será que a Google Play possui mais apps infectados? Uma pergunta que fica no ar…

Fonte: Tecmundo

Conheça as estratégias da Google contra os apps maliciosos na Play Store

google playComo o Android é, de longe, a plataforma mobile mais popular no mundo — rodando em mais de 86,8% dos smartphones vendidos globalmente no terceiro trimestre de 2016 – IDC —, é natural que criminosos foquem no Robô quando querem desenvolver algum malware ou qualquer outro software malicioso.
Por isso, a plataforma da Google tem sido muito mais atacada por esse tipo de praga do que o iOS ou mesmo o Windows 10 Mobile, que possuem fatias muito menores do mercado.

Com a quantidade de malwares aumentando anualmente e com o fato de o Android ser o principal alvo de quem desenvolve esses códigos, como é que a Google consegue garantir a segurança dos smartphones de mais de um bilhão de pessoas pelo mundo?

A empresa explicou recentemente que existem duas frentes de defesa principais: o sistema “Verify Apps” nativo do Robô e uma fórmula que calcula o nível de ameaça que cada app representa para o ecossistema conforme ele ataca aparelhos desprotegidos.

Linha de frente

Todas as aplicações que chegam à Google Play passam por uma verificação de segurança nos servidores da Google antes de serem disponibilizados para download. Isso quer dizer que nenhum app presente na loja do Android chegou lá sem ter sido aprovado pelos “robôs” da gigante das buscas.

Mas como os criadores de malwares e de outras ameaças estão continuamente tentando encontrar formas de fazer seu código malicioso passar despercebido por essa primeira verificação, a Google desenvolveu o Verify Apps e a tal fórmula, que atuam como uma segurança extra.

O Verify Apps entra em ação sempre que você baixa um app na loja e, antes de iniciar a instalação, ele faz uma varredura em todo o código do item em busca de possíveis ameaças. Aparentemente, esse recurso é bastante seguro, uma vez que os criminosos agora estão encontrando formas de desabilitá-lo em vez de tentar fazer seus apps passarem despercebidos por ele.

Esse sistema de verificação nativo, entretanto, só consegue se manter seguro de verdade quando as atualizações de segurança mensais que a Google libera para o Robô chegam ao seu aparelho. Se a fabricante do seu smartphone nunca envia atualizações de segurança, você prevalente não está com o mesmo nível de proteção que os usuários de aparelhos Nexus e Pixel possuem.

Seja como for, já existem apps maliciosos que conseguem desabilitar o Verify Apps no momento da instalação e, com isso, abrem uma porta para que o verdadeiro perigo chegue ao seu smartphone.

Plano B

Quando esses apps conseguem desabilitar o Verify Apps, a tal fórmula que mencionamos anteriormente entra em ação. Para conseguir se instalar no smartphone de alguém, o app malicioso precisa desativar o Verify imediatamente. Caso contrário, o recurso identifica o perigo e o remove ou bloqueia. Contudo, a Google tem como saber quando o Verify é desativado logo depois de um download na loja. Quando a empresa recebe um retorno positivo para isso, ela coloca essa ocorrência na fórmula.

Basicamente, o smartphone que teve o Verify desativado vira uma estatística e fica marcado como “comprometido por app fulano de tal”. Conforme mais dispositivos recebem essa marcação, a fórmula consegue calcular um coeficiente, e, quando ele cai para baixo de um valor específico, o pessoal da Google Play recebe um alerta de perigo.

Com isso, o app que estava fazendo a farra e desativando a segurança do Android é verificado e testado com mais atenção para determinar se ele é realmente perigoso ou se era apenas um falso-positivo.

Caso ele tenha realmente causado brechas de segurança ou comprometido o sistema dos smartphones de alguns usuários, a Google remove o app da Play Store e consegue desinstalá-lo remotamente dos smartphone que foram prejudicados. Ou seja, a falha é revertida.

A tal fórmula é esse aí em baixo. Nela, “N” representa o número de aparelhos que baixaram o app, “x” é o número de aparelhos que tiveram o Verify desativado logo após instalarem o app, “p” infere a probabilidade de um app qualquer desativar o Verify em um smartphone Android e “Z” é o coeficiente do qual falamos. Quando ele chega a -3,7 ou cai abaixo disso, o alerta é disparado.formulaCom esse sistema de segurança que funciona a partir da verificação local e dos metadados coletados pela Play Store no momento de cada instalação, a Google já conseguiu evitar que milhões de usuários fossem infectados com apps maliciosos que carregavam as ameaças conhecidas como Hummingbad, Gooligan e Ghost Push, todos malwares largamente disseminados recentemente.

Apesar disso, não queremos nem podemos dizer que, com essa abordagem, a Google consegue deixar o Android completamente seguro. Isso não é verdade, e nenhum sistema operacional no mundo é 100% seguro. Contudo, é interessante que a Google tenha atacado o problema dos malwares por uma frente que pouca gente poderia imaginar: usando metadados de usuários que acabaram infectados para proteger a plataforma como um todo.

Fonte: Tecmundo

Trojan na Google Play: centanas de apps contaminados

malware-androidAconselhamos com frequência que usuários Android baixem aplicativos apenas da loja oficial. É muito mais seguro procurar aplicativos na Google Play porque todos os apps passam por controle rigoroso com diversos critérios de segurança que somente se aprovados em todos, os aplicativos são publicados.

Contudo, aplicativos intrusos se infiltraram no Google Play algumas vezes. Recentemente, em um grande incidente, mais de 400 aplicativos na Google Play (e quase 3000 em outras app stores) portavam o Trojan DressCode.

O malware tem nome engraçado por conta de sua primeira aparição: o Trojan foi detectado em agosto por pesquisadores em aplicativos de dress-up – jogos voltados para garotas. Um desses jogos foi baixado entre 100.000 a 500.000 vezes da Play. Outros aplicativos com o Trojan foram encontrados -mais de 400, por volta de 40 na Google Play. Os pesquisadores avisaram o Google e a empresa deletou os apps da loja.

Contudo, outro grupo de pesquisadores se interessou pelo Trojan e decidiu investigar mais a fundo e em diversas app stores. Dois dias depois, a equipe encontrou quase 3000 apps infectados com o DressCode; mais de 400 na Google Play. A PSafe informa ter identificado ao menos 500 apps contaminados.

A maioria dos aplicativos infectados são jogos ou aplicativos relacionados – por exemplo, apps com dicas e modificações. Entre os maliciosos haviam diversos melhoradores de performance, otimizadores, e outras pseudo-utilidades.

O maior problema com o DressCode é que ele é difícil de detectar. O código do Trojan é muito pequeno comparado com o de seu programa carregador. Talvez seja por isso que muitos dos infectados passaram no processo de aprovação do Google Play.

O que o DressCode faz?

Em geral, o objetivo do DressCode é estabelecer conexão com um servidor de comando e controle, que envia comandos ao Trojan, deixando-o inativo e tornando sua detecção naquele momento impossível. Quando o criminoso decide usar o dispositivo infectado, pode despertar o Trojan, tornando o smartphone ou tablet em um servidor proxy, e usá-lo para redirecionar o tráfego da Internet.

Como os cibercriminosos lucram com isso?

Primeiro, os dispositivos infectados podem ser usados como parte de uma botnet como caminho para certos endereços de IP. Esse método permite que criminosos gerem tráfego, clicks em banners e URLs pagos, além de organizar ataques DDoS contra sites alvo.

Segundo, se um dispositivo (digamos, um smartphone corporativo) pode acessar algumas redes locais, os autores poderiam obter acesso a toda essa rede por meio daquele único smartphone, colocando suas garras em dados sensíveis.

Esse é o caso no qual nosso conselho usual – baixe aplicativos das lojas oficiais – não é suficiente. É verdade que a Google Play tem uma taxa muito menor de aplicativos maliciosos comparados com outras lojas Android, mas 400 aplicativos infectados de uma vez não é pouca coisa. Além do mais, eles incluem módulos de grandes sucessos como Minecraft e “GTA 5”, baixados mais de 500.000 vezes.

Pode-se diminuir a lista de recomendações usuais para apenas duas coisas:

  • Tenha cuidado ao clicar em “Baixar”. Antes de instalar um aplicativo desconhecido, verifique as avaliações deixadas por usuários de maneira crítica, analise a lista de permissões com cuidado. Infelizmente, você não pode confiar nas reviews da Google Play, mas pelo menos alguma ideia elas podem dar a respeito da confiabilidade de um aplicativo;
  • Instale uma boa solução de segurança em seus aplicativos mobile.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Kaspersky blog e PSafe

Apps de phishing se disfarçam na Google Play

apps_maliciososSegundo empresa de segurança, criminosos criam aplicativos falsos que imitam serviços de pagamento e de cartões para enganar usuários.

Os esforços do Google para proteger a sua loja de aplicativos Android, a Play Store, estão longe de serem perfeitos. Isso porque apps maliciosos costumam conseguir burlar o processo de revisão da plataforma, como aconteceu recentemente com vários aplicativos de phishing que se disfarçam como aplicativos de pagamentos.

Pesquisadores da empresa de segurança PhishLabs alegam ter descoberto 11 aplicativos desse tipo na Google Play desde o início de 2016, sendo que a maioria foi criada pelo mesmo grupo de hackers.

Os apps em questão são simples, mas eficientes. Eles carregam páginas web contendo formulários de login que se parecem com os sites das empresas que são seus alvos. Essas páginas são carregadas a partir de nomes de domínio registrados pelos criminosos. Mas como são carregadas dentro dos apps, os usuários não veem a sua verdadeira localização.

Em alguns casos, os criminosos registraram nomes de domínio que são parecidos com aqueles dos serviços de pagamentos on-line imitados, aponta o analista da companhia, Joshua Shilko.

A PhishLabs não revelou exatamente quais empresas de cartão de crédito e pagamentos online foram alvos dos ataques por esses aplicativos falsos. Mas a maioria dessas empresas fornecem links para seus aplicativos móveis diretamente pelos seus sites e os usuários devem sempre preferir usar esse caminho para baixá-los.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now