0
0
Os usuários do Android geralmente são aconselhados a obter aplicativos móveis do Google Play, o mercado de aplicativos oficial da empresa, para minimizar a possibilidade de download de malware. Afinal, o Google analisa os aplicativos antes de permiti-los no mercado. Infelizmente, vez após vez, lemos sobre vendedores de malware encontrando maneiras de contornar esse processo de verificação.
“A distribuição por meio de droppers em lojas oficiais continua sendo uma das maneiras mais eficientes de os agentes de ameaças atingirem um público amplo e desavisado. Embora outros métodos de distribuição também sejam usados dependendo dos alvos, recursos e motivação dos cibercriminosos, os droppers continuam sendo uma das melhores opções na relação preço-esforço-qualidade, competindo com o SMiShing ”, apontaram recentemente os pesquisadores do Threat Fabric, depois de compartilhar sua descoberta de vários aplicativos no Google Play funcionando como droppers para os trojans bancários Sharkbot e Vultur.
Técnicas de evasão de droppers de malware no Google Play
Esses aplicativos funcionais e trojans – geralmente gerenciadores de arquivos, ferramentas de recuperação de arquivos ou autenticadores de segurança (2FA) – são criados para ocultar sua natureza maliciosa do Google Play Protect , soluções antivírus, pesquisadores e usuários: eles fornecem a funcionalidade anunciada, solicitam alguns permissões que não levantam suspeitas e não contêm código abertamente malicioso.
Mais recentemente, os pesquisadores da Cleafy compartilharam informações adicionais sobre as técnicas de evasão de um dropper de trojan Vultur que foi incluído em três aplicativos encontrados no Google Play (RecoverFiles, My Finances Tracker e Zetter Authenticator).
Este conta-gotas, criado pela equipe de crimes cibernéticos por trás do Brunhilda DaaS (Dropper as a Service), está sendo constantemente aprimorado. A versão mais recente tem uma pegada pequena, requer poucas permissões e usa esteganografia, exclusão de arquivos, ofuscação de strings e técnicas anti-emulação para “ocultar” de emuladores, sandboxes e soluções de segurança.
O dropper Sharkbot, conforme descrito pelos pesquisadores do Threat Fabric, solicita um número ainda menor de permissões comuns e, em seguida, nem realiza atividades maliciosas se o usuário não estiver localizado em uma localização geográfica específica.
“Para evitar o uso da permissão REQUEST_INSTALL_PACKAGES [possivelmente suspeita], o conta-gotas abre uma página falsa da Google Play Store representando a página [do aplicativo trojanizado]. Ele contém informações falsas sobre o número de instalações e revisões e insta a vítima a realizar uma atualização. Logo após a página ser aberta, o download automático é iniciado. Assim, o dropper terceiriza o procedimento de download e instalação para o navegador, evitando permissões suspeitas”, explicaram os pesquisadores.
“Obviamente, tal abordagem exige mais ações da vítima, pois o navegador mostrará várias mensagens sobre o arquivo baixado. No entanto, como as vítimas têm certeza sobre a origem do aplicativo, é muito provável que instalem e executem a carga útil do Sharkbot baixada.”
Da mesma forma, o aplicativo dropper Brunhilda exibe ao usuário uma solicitação de atualização persistente para baixar um novo aplicativo (ou seja, o malware Vultur).
“Embora dessa forma, o usuário tenha que aceitar a permissão do Android para baixar e instalar o aplicativo de uma fonte diferente da Google Store oficial, essa técnica permite que [os agentes de ameaças] não carreguem o aplicativo malicioso diretamente na loja oficial, tornando o aplicativo conta-gotas indetectável”, apontaram os pesquisadores de Cleafy.
FONTE: HELPNET SECURITY