A empresa de cibersegurança mobile ThreatFabric identificou uma série de trojans bancários em aplicativos disponíveis na Google Play. Segundo pesquisadores da empresa, foram contabilizados mais de 300 mil downloads dos apps maliciosos antes de eles serem descobertos.
As ameaças se apresentavam de diferentes formas, incluindo aplicativos para ler QR codes, ferramentas para escanear documentos e carteiras de criptomoedas. Os trojans eram utilizados para desviar senhas de usuários e códigos de autenticação de dois fatores, além de registrar o pressionamento de teclas em um dispositivo e fazer capturas de tela.
De acordo com a ThreatFabric, esses apps estão associados a quatro tipos de malware que estavam sendo distribuídos em aparelhos Android durante quatro meses. Foram utilizadas diversas técnicas para burlar as restrições que o Google criou como forma de combater aplicativos fraudulentos em seu marketplace.
Uma dessas novas imposições refere-se à limitação do uso de serviços de acessibilidade para pessoas com deficiência visual para evitar que aplicativos sejam instalados de forma automática sem o consentimento do usuário.
Malware é instalado com atualizações
Os pesquisadores da empresa de cibersegurança explicam que essas campanhas de distribuição na Google Play são difíceis de serem detectadas por ferramentas de automação e machine learning porque os aplicativos maliciosos deixam poucos rastros.
A estratégia comumente utilizada pelos cibercriminosos consiste em oferecer um aplicativo padrão inicialmente, sem qualquer ameaça de cibersegurança. No entanto, após a ferramenta estar instalada no dispositivo, os usuários recebem uma mensagem alertando sobre a necessidade de baixar atualizações para se obter recursos adicionais.
As atualizações geralmente devem ser baixadas de um outro fornecedor, mas considerando que os usuários já estão utilizando os serviços do aplicativo, eles julgam a empresa como confiável e apenas seguem as instruções.
Outra tática utilizada na campanha de distribuição foi a instalação manual das atualizações maliciosas pelos operadores de malware. Para isso, eles precisaram apenas verificar a localização geográfica do dispositivo infectado ou atualizar os aparelhos de forma incremental.
Aplicativos legítimos
O malware responsável pelo maior número de infecções é conhecido como Anatsa. Considerado um trojan bancário avançado, ele oferece uma série de recursos aos hackers, como acesso remoto e sistemas de transferência automática, que permite esvaziar as contas das vítimas e enviar todo o conteúdo para a conta dos invasores.
Os pesquisadores da ThreatFabric ainda pontuam que houve um esforço notável por parte dos atores responsáveis pela campanha de fazer com que os aplicativos parecessem legítimos. Eles contam com uma grande quantidade de avaliações positivas, além de um número elevado de instalações, o que pode convencer outros usuários a baixá-los.
Apesar de os aplicativos terem sido instalados mais de 300 mil vezes, nem todos os dispositivos foram infectados pelo Anatsa, segundo a ThreatFabric, já que os cibercriminosos tinham como alvo regiões específicas.
Os outros três tipos de malware identificados pelos pesquisadores foram: Alien, Hydra e Ermac.
Nos últimos anos, aplicativos maliciosos se tornaram um problema regular na loja de aplicativos do Google. Ao receber uma denúncia, a empresa remove os apps fraudulentos prontamente, mas ainda enfrenta dificuldades em identificar todas as ameaças infiltradas entre as milhares de ferramentas disponíveis em seu marketplace.