Malware para Android pode espionar usuários e estava em lojas oficiais

Views: 610
0 0
Read Time:3 Minute, 11 Second

Por Felipe Demartini


Um malware “silencioso” se tornou a nova ameaça para usuários do sistema operacional Android, sendo disponibilizado por criminosos através de lojas oficiais e capaz de evadir sistemas de segurança. O AbstractEmu, como foi batizado, tem capacidades avançadas e, uma vez instalado, pode escalar privilégios ou realizar root no aparelho, como forma de roubar dados ou instalar novas pragas sem que o usuário perceba o que está acontecendo.

Conforme apontam os especialistas do Lookout Threat Labs, se trata também de uma ameaça um pouco mais sofisticada que as usuais, encontradas no Android. Os aplicativos contendo o AbstractEmu têm foco em segurança e utilidades, com versões disfarçadas como gerenciadores de senhas, launchers e limpadores de memória, todos efetivamente funcionais e sem traços de que se tratam de uma opção maliciosa, arrebanhando dezenas de milhares de downloads.

De acordo com os pesquisadores, são múltiplas versões liberadas tanto na Google Play Store quanto nas lojas da Amazon e Samsung, entre outras. Em sua versão mais popular, chamada de Lite Launcher, o AbstractEmu chegou a arrebanhar mais de 10 mil instalações antes de ser retirado do ar, quando o Google foi informado sobre o perigo; versões disponíveis em outros marketplaces podem ainda estar disponíveis. Além deste, estão envolvidos nos golpes apps como Anti-ads Browser, Data Saver, My Phone, Night Light, All Passwords e Phone Plus.

Uma vez instalado e com as devidas permissões dadas ao usuário, a praga coleta informações do aparelho e as envia para um servidor de comando, aguardando retorno dos criminosos. Dados como endereços IP e MAC, modelo do aparelho, versão do sistema operacional, geolocalização, operadoras utilizadas e até mesmo se o aparelho já foi “rootado” ou não são compartilhados. A resposta do servidor, emitida pelos bandidos, decide o que será feito a seguir.

Pesquisadores não revelaram lista completa de apps fraudulentos, mas indicaram alguns nomes e ícones que foram usados pelos criminosos nos ataques (Imagem: Divulgação/Lookout)

Diferentes comandos permitem roubar dados específicos ou rastrear alterações em arquivos do aparelho, coletar os contatos do usuário, capturar a tela ou gravar áudio, obter informações do aparelho e do Wi-Fi ou instalar novas pragas. Como o ataque garante privilégios avançados, autorizações relacionadas aos downloads não são exibidas, e como os apps fraudulentos realmente entregam as funções que prometem, são grandes as chances de as vítimas nem mesmo perceberem o que está acontecendo. Em um caso extremo, os pesquisadores perceberam serem capazes até mesmo de resetar o aparelho às suas configurações de fábrica, apagando todas as informações — e também a própria presença, no processo.

De acordo com o Lookout Threat Labs, o malware utiliza falhas conhecidas, mas que ainda não haviam sido exploradas amplamente, para atacar os usuários; é o caso, por exemplo, do CVE-2020-0041, uma brecha de escrita fora dos limites da memória no Android, e do CVE-2020-0069, presente em chips da fabricante MediaTek. Além disso, os especialistas indicam que o AbstractEmu pode ser facilmente modificado, de forma que mais capacidades ou explorações possam ser ativadas pelos bandidos.

Ainda, os pesquisadores apontam que, ao contrário da maioria das pragas que se disfarçam de apps, o desenvolvimento de soluções que realmente funcionam aumenta a superfície de ataque e dificulta a detecção. Eles alertam também que, enquanto o Google baniu contas de desenvolvedores e tirou os apps fraudulentos do ar, eles ainda permanecem em outras lojas, enquanto os próprios criminosos também podem publicar as soluções novamente na Play Store.

Felizmente, manter os sistemas atualizados ajuda a coibir a prática. Essa é a principal recomendação dada pelos pesquisadores do Lookout Threat Labs, junto com o tradicional cuidado no download de soluções; o ideal é preferir os apps de empresas e desenvolvedores reconhecidos e certificados, que tenham volume de downloads e também recomendações em sites de tecnologia.

FONTE: CANALTECH

POSTS RELACIONADOS