Spyware que se disfarçava de aplicativo legítimo no Google Play afetou pessoas em 196 países do mundo.
A Trend Micro, uma das gigantes globais em cibersegurança, descobriu recentemente um spyware – software espião de computador – que tem o objetivo de observar e roubar informações pessoais de usuários (detectado como ANDROIDOS_MOBSTSPY) – que se disfarçava como aplicativos legítimos do Android.
A aplicação maliciosa também foi encontrada em outros apps, como o jogo chamado Flappy Birr Dog, FlashLight, o HZPermis Pro Arabe, o Win7imulator, o Win7Launcher e o Flappy Bird.
Segundo a companhia, os apps mal-intencionados foram baixados mais de 100 mil vezes por usuários em 196 países diferentes, com a Índia liderando a lista dos países com maior número de vítimas — 31,77% dos casos. O Brasil está atrás de Rússia (7,56%), Paquistão (4,81%), Bangladesh (4,71%) e Indonésia (3,42%) com 3,26% das vítimas. O Google já removeu todos esses aplicativos da Google Play.
Parte do que torna esse caso interessante é o quão amplamente seus aplicativos foram distribuídos. Por meio do monitoramento de back-end e pesquisa profunda da Trend Micro constata-se a distribuição por diferentes países e que os usuários afetados provinham de um total de 196 países diferentes. O Brasil ficou em sexto lugar entre os mais afetados do mundo.
Ainda de acordo com a Trend Micro, o malware seria capaz de acessar informações como localização do usuário, conversas por SMS, registros de chamadas e itens da área de transferência. “Ele usa o Firebase Cloud Messaging para enviar informações para o servidor. Assim que o aplicativo malicioso for iniciado, o malware primeiro verificará a disponibilidade da rede do dispositivo. Em seguida, lê e analisa um arquivo de configuração XML de seu servidor C & C”, explica o laudo publicado pela companhia.
O malware então coletará certas informações do dispositivo, como o idioma utilizado, país registrado, o nome do pacote, o fabricante do dispositivo, etc. Dependendo do comando recebido pelo malware, ele pode roubar conversas por SMS, listas de contatos, arquivos e registros de chamadas. O malware é capaz, inclusive, de roubar e fazer o upload de arquivos encontrados no dispositivo.
Felippe Batista, especialista de segurança da informação para cloud na Trend Micro, alerta para que os usuários sejam cautelosos ao fazerem downloads, por mais que o app esteja dentro das lojas oficiais do sistema operacional.
Para ele, “A popularidade dos aplicativos serve como um incentivo para que os cibercriminosos continuem desenvolvendo softwares maliciosos para roubar informações ou realizar outros tipos de ataques. Além disso, os usuários podem instalar uma solução abrangente de segurança cibernética para defender seus dispositivos móveis contra malware móvel”.
Além de seus recursos de roubo de informações, o malware também pode coletar credenciais adicionais por meio de um ataque de phishing. É capaz de exibir falsos pop-ups do Facebook e do Google para phishing dos detalhes da conta do usuário. Se o usuário inserir suas credenciais, o pop-up falso informará apenas que o login não foi bem-sucedido. Nesse ponto, o malware já teria roubado as credenciais do usuário.
Vale lembrar que o Google tem tentado melhorar o processo de aprovação dos aplicativos para evitar esse tipo de problema. A empresa divulga relatórios trimestrais de segurança e de remoção de apps nocivos por meio do Google Play Protect.
Fonte: TechTudo
