Malware Android infectou mais de 300.000 dispositivos com trojans bancários

Os aplicativos iniciais no Google Play eram seguros, mas os criadores encontraram uma maneira de contornar as proteções da Play Store para instalar malware nos dispositivos dos usuários do Android. Veja como isso aconteceu e como se manter seguro.

Um relatório de novembro da ThreatFabric revelou que mais de 300.000 usuários do Android baixaram malware sem saber com recursos de trojan bancário e que ele ignorou as restrições da Google Play Store.

Os cibercriminosos desenvolveram um método para infectar com sucesso os usuários do Android com diferentes trojans bancários, projetados para obter o às credenciais da conta do usuário. O primeiro o foi enviar aplicativos para a Google Play Store que quase não tinham pegada maliciosa e que realmente pareciam aplicativos funcionais e úteis, como scanners de QR Code, scanners de PDF, aplicativos relacionados a criptomoedas ou aplicativos relacionados a fitness.

Uma vez lançados, esses aplicativos solicitavam que o usuário fizesse uma atualização, que era baixada fora da Google Play Store (técnica de sideload) e instalava o conteúdo malicioso no dispositivo Android.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Portanto, embora o aplicativo inicial não contenha nada malicioso, ele forneceu uma maneira de instalar o conteúdo malicioso após a instalação, tornando-o totalmente invisível para a Google Play Store.

Os invasores tiveram o cuidado de enviar uma versão inicial de seus aplicativos, que não continha nenhuma funcionalidade de ou instalação, e posteriormente atualizaram os aplicativos na Google Play Store com mais permissões, permitindo o e a instalação do malware. Eles também estabeleceram restrições usando mecanismos para garantir que a carga útil fosse instalada apenas em dispositivos de vítimas reais e não em ambientes de teste, dificultando ainda mais a detecção.

ThreatFabric descobriu quatro famílias de Trojans bancários diferentes: Anatsa, Alien, Hydra e Ermac, sendo Anatsa a mais difundida.

A segurança da Google Play Store

O Google Play é o principal repositório de aplicativos Android, e qualquer desenvolvedor pode enviar seu próprio aplicativo para a Play Store. O aplicativo enviado ará por um processo de revisão do aplicativo para garantir que não seja malicioso e não viole nenhuma das políticas do desenvolvedor.

VEJO: Google Chrome: dicas de segurança e interface do usuário que você precisa saber (TechRepublic )

Essas políticas envolvem principalmente garantir que o conteúdo do aplicativo seja apropriado, que ele não represente ou copie outros aplicativos ou pessoas, que esteja em conformidade com as políticas de monetização e forneça funcionalidade mínima (não deve travar o tempo todo e deve respeitar a experiência do usuário).

Do lado da segurança, os aplicativos enviados não devem, obviamente, ser maliciosos: não devem colocar um usuário ou seus dados em risco, comprometer a integridade do dispositivo, obter controle sobre o dispositivo, permitir operações controladas remotamente para um invasor ar, usar ou explorar um dispositivo, transmitir quaisquer dados pessoais sem divulgação e consentimento adequados ou enviar spam ou comandos para outros dispositivos ou servidores.

O processo do Google para examinar os aplicativos enviados também inclui verificações de permissão. Algumas permissões ou APIs, consideradas confidenciais, precisam que o desenvolvedor registre solicitações de autorização especial e as revise pelo Google para garantir que o aplicativo realmente precise delas.

Malware e PUA na Google Play Store

Embora esteja muito ciente e implemente ativamente novos métodos constantes para combater malware, a Google Play Store ainda pode ser ignorada em casos raros. Todo o processo de revisão aplicado aos envios de aplicativos para a Google Play Store torna muito difícil para os cibercriminosos espalhar malware pela plataforma, embora infelizmente ainda seja possível.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Um estudo divulgado em novembro de 2020 pelo NortonLifeLock Research Group revelou que entre 34 milhões de APKs espalhados em 12 milhões de dispositivos Android, entre 10% e 24% deles podem ser descritos como aplicativos maliciosos ou potencialmente indesejados, dependendo das diferentes classificações. Desses aplicativos, 67% foram instalados a partir da Google Play Store. Os pesquisadores mencionam que “o mercado Play é o principal vetor de distribuição de aplicativos responsável por 87% de todas as instalações e 67% das instalações indesejadas. No entanto, sua taxa de detecção de vetor é de apenas 0,6%, mostrando que as defesas do mercado Play contra aplicativos indesejados funcionam, mas ainda assim quantidades significativas de aplicativos indesejados são capazes de contorná-los, tornando-o o principal vetor de distribuição de aplicativos indesejados. No final, é mais provável que os usuários instalem malware ao baixá-lo de páginas da Web por meio de navegadores de dispositivos ou de mercados alternativos.

Como proteger seu dispositivo Android contra malware

Com alguns os, é possível reduzir significativamente o risco de ter um dispositivo Android comprometido.

• Evite lojas desconhecidas. Lojas desconhecidas normalmente não têm processos de detecção de malware, ao contrário da Google Play Store. Não instale software em seu dispositivo Android que venha de fontes não confiáveis.
• Verifique cuidadosamente as permissões solicitadas ao instalar um aplicativo. Os aplicativos só devem solicitar permissões para as APIs necessárias. Um scanner de QR Code não deve pedir permissão para enviar SMS, por exemplo. Antes de instalar um aplicativo da Google Play Store, role para baixo na descrição do aplicativo e clique em Permissões do aplicativo para verificar o que ele solicita.
• A solicitação imediata de atualização após a instalação é suspeita. Um aplicativo baixado da Play Store deve ser a versão mais recente dele. Se o aplicativo solicitar permissão de atualização na primeira execução, imediatamente após sua instalação, é suspeito.
• Verifique o contexto do aplicativo. O aplicativo é o primeiro de um desenvolvedor? Tem muito poucos comentários, talvez apenas comentários de cinco estrelas?
• Use aplicativos de segurança em seu dispositivo Android. Aplicativos de segurança abrangentes devem ser instalados no seu dispositivo para protegê-lo.