Aplicativos maliciosos para Android encontrados disfarçados de ferramentas antivírus legítimas

Os aplicativos falsos tentaram entregar malware projetado para roubar credenciais de contas e informações bancárias, diz a Check Point Research.

Os usuários móveis que baixam um aplicativo antivírus naturalmente esperam que o programa proteja seu dispositivo. Mas vários aplicativos Android analisados ​​pela Check Point Research fizeram exatamente o oposto. Em um relatório divulgado na quinta-feira, o provedor de inteligência de ameaças cibernéticas detalhou sua descoberta de seis aplicativos no Google Play que pareciam ser software antivírus, mas na verdade tentaram instalar malware capaz de roubar credenciais e dados financeiros.

Disfarçados de produtos antivírus genuínos, os aplicativos em questão continham uma carga letal chamada Sharkbot. Além de tentar roubar informações confidenciais, essa marca de malware tenta contornar a detecção anterior usando várias técnicas de evasão. Em particular, tira proveito de uma tática conhecida como algoritmo de geração de domínio. Nesse cenário, os cibercriminosos criam continuamente novos nomes de domínio e endereços IP para seus servidores de comando e controle, dificultando que as autoridades cortem a conexão entre os invasores e as máquinas infectadas.

O Sharkbot funciona solicitando que suas vítimas insiram credenciais de conta em janelas que parecem formulários de entrada legítimos. Quaisquer nomes de usuário e senhas inseridos dessa maneira são enviados para um servidor malicioso, onde os invasores podem usá-los diretamente para comprometer a conta ou vendê-los na Dark Web. O malware também tenta persuadir os usuários a conceder permissão para o serviço de ibilidade, permitindo que ele controle o dispositivo. A partir daí, os invasores podem enviar notificações que contêm links maliciosos.

Ao descobrir os aplicativos maliciosos, a Check Point informou o Google, que os removeu de sua loja de aplicativos. Quatro dos aplicativos vieram de três contas de desenvolvedor, duas das quais estavam ativas no outono de 2021. Apesar da remoção do Google Play, alguns aplicativos vinculados a essas contas permanecem disponíveis em lojas de aplicativos não oficiais, um sinal de que o invasor pode estar tentando permanecer sob o radar, mas ainda capturar vítimas em potencial.

VEJA: Principais dicas de segurança do Android (PDF gratuito) (TechRepublic)

Mais de 15.000 s de aplicativos maliciosos foram detectados pela Check Point, visando principalmente o Reino Unido e a Itália. Mas, usando um recurso de geofencing para determinar a localização de uma vítima, os aplicativos ignoraram propositalmente alvos na China, Índia, Romênia, Rússia, Ucrânia e Bielorrússia.

“O agente da ameaça escolheu estrategicamente um local de aplicativos no Google Play que tenham a confiança dos usuários”, disse o gerente de pesquisa e inovação da Check Point Software, Alexander Chailytko, em um comunicado à imprensa. “O que também é digno de nota aqui é que os agentes de ameaças enviam mensagens às vítimas contendo links maliciosos, o que leva à adoção generalizada. Em suma, o uso de mensagens push pelos agentes de ameaças solicitando uma resposta dos usuários é uma técnica de disseminação incomum. Acho importante que todos os usuários do Android saibam que devem pensar duas vezes antes de baixar qualquer solução antivírus da Play Store. Pode ser o Sharkbot.”

Para ajudar a proteger indivíduos e organizações desses tipos de aplicativos maliciosos, a Check Point fornece algumas dicas:

• Instale aplicativos móveis apenas de lojas e editores de aplicativos confiáveis ​​e legítimos.
• Se você encontrar um aplicativo interessante de um editor novo ou desconhecido, procure aplicativos semelhantes de editores mais conhecidos e confiáveis.
• Denuncie quaisquer aplicativos suspeitos ao Google.