0
0
Especialistas da ESET divulgaram nesta semana a descoberta de uma grande campanha de infecção que usava aplicativos maliciosos disponíveis na Google Play Store para exibir anúncios e coletar dados dos celulares das vítimas. De acordo com os pesquisadores da empresa de segurança, os 42 malwares disponíveis na loja acumularam mais de oito milhões de downloads antes de serem retirados do ar.
Os softwares eram dos mais diferentes tipos, mas a maioria oferecia funções utilitárias como players de música, sintonizadores de rádio FM, blocos de anotações ou lembretes de tomar água, bem como jogos. Aplicativos populares nas buscas da loja oficial do Android também faziam parte da lista, como soluções para download de vídeos do Instagram ou outras redes sociais, bem como compositores de ringtones ou galerias offline para o sistema operacional.
O problema é que, uma vez instalados, os aplicativos passavam a exibir anúncios em tela cheia de forma aleatória, mesmo enquanto o usuário visualizava recursos do próprio sistema. Os lucros oriundos da visualização da propaganda, claro, iam para o bolso do responsável pelos malwares, com algumas de suas aplicações também tentando realizar coleta de dados dos usuários, que eram enviados a um servidor no Vietnã, sob o controle do criador dos softwares.
É aqui que, segundo a ESET, a situação só se torna mais curiosa, uma vez que o hacker responsável pelas soluções não fez muita questão de esconder a própria identidade. Ele é estudante em uma universidade do Vietnã e, a partir do e-mail usado para registrar o servidor que recebe as informações da vítima (e também por conta de uma falha de segurança na instituição em que ele estuda), a empresa de segurança foi capaz de encontrar praticamente tudo sobre ele, desde nome completo e data de nascimento até fotos pessoais e perfis em redes sociais.
Chamou a atenção, inclusive, o fato de o responsável pelo golpe não se preocupar em esconder as próprias informações, mas também aparecer pessoalmente em tutoriais sobre o adware que desenvolveu para a campanha. O Ashas, como foi chamado, se conecta aos servidores controlados pelo hacker uma vez instalado em um celular, indicando informações sobre marca, modelo, espaço livre e a presença de certos aplicativos como o Facebook e o Messenger, entre outros. A partir disso, diferentes configurações para a exibição de anúncios são enviadas de volta, enquanto a coleta de dados de utilização continua acontecendo.
O adware também possui um sistema para burlar possíveis verificações da Play Store, o que explica o tamanho do total de downloads sem detecção. A evasão acontece a partir do IP, com o malware detectando conexões a servidores conhecidos da gigante e desativando todas as suas funções maliciosas até que a checagem termine, voltando a se instalar e funcionar normalmente depois disso. Além disso, para escapar de outro sistema de checagem do próprio Android, os apps somente eram exibidos 24 minutos depois do desbloqueio do aparelho, como forma de reduzir a associação a certos softwares e fugir de ferramentas de segurança que são aplicadas no começo da utilização.
FONTE: CanalTech