Ao contrário do que sucedia inicialmente, hoje não é fácil colocar uma aplicação maliciosa na loja oficial para dispositivos Android, Google Play. O verificador automático de aplicações da Google, chamado Bouncer, tem ajudado a reduzir o número de malware na loja.
Contudo, o processo está longe de evitar todo e qualquer malware, como o prova a descoberta pela ESET, empresa especializada em soluções de proteção e segurança, de mais de 30 aplicações scareware que conseguiram recentemente ser disponibilizadas para download através da loja Google Play.
A ESET revelou hoje que, ao longo dos últimos nove meses, se estima que entre 600.000 e 2,8 de utilizadores descarregaram através da Google Play mais de 30 aplicações maliciosas que na sua grande maioria se fazem passar por “cheats” ou “mods” do popular jogo Minecraft.
De acordo com os investigadores da ESET, todas estas apps eram falsas, no sentido de que não só não continham qualquer da funcionalidade anunciada, como tudo o que faziam era exibir ecrãs com avisos assustadores (daí a designação de “scareware”) que levavam os utilizadores a crer que os seus dispositivos Android tinham sido infetados com um “vírus perigoso”.
Os utilizadores eram então persuadidos a “remover” os falsos vírus ativando uma subscrição premium através de SMS que lhes custava 4,80 euros por semana.
Todas as apps identificadas demonstravam um comportamento similar; as únicas diferenças consistiam nos seus nomes e ícones. Estas apps foram colocadas na loja Google Play a partir de diferentes contas, mas supõe-se que todas tenham sido criadas pela mesma pessoa.
As primeiras aplicações scareware foram colocadas na loja em Agosto passado. Durante o tempo que estiveram online, todas receberam más classificações e comentários negativos por parte dos utilizadores. Contudo, de acordo com dados públicos disponibilizados pela própria Google Play, isto não impediu que muitas dessas apps tenham sido instaladas entre 100.000 e 500.000 vezes, com o número total estimado de instalações das 33 apps scareware descobertas entre 660.00 e 2,8 milhões.
O software de segurança da ESET deteta este tipo de ameaças como Android/FakeApp.AL. Após a notificação por parte da ESET, a Google retirou todas as apps da loja.
Análise
Após a instalação, todas as apps tinham o mesmo aspeto e um comportamento similar. Apesar das diferenças em nome e nos ícones, a maioria sugeria ser um “cheat” ou “mod” para Minecreft.
Após a instalação, a app cobria todo o ecrã com banners publicitários. E apesar de o programa ter três botões (Start, Options e Exit) nenhum deles tinha qualquer funcionalidade implementada no código.
A linguagem usada pela publicidade do scareware era baseada na localização geográfica do dispositivo, uma prática comum no chamado ransomware.[2] Qualquer interação do utilizador com a app – fosse através dos botões falsos ou dos banners publicitários – levava ao aparecimento de uma janela de alerta dizendo que o dispositivo estava infetado com um “vírus” e dando à vítima a possibilidade de o “remover”.
Caso a vítima acionasse um dos links de alerta surgiria outro passo do esquema fraudulento com a exibição de vários websites com mais mensagens de scareware. Um destes websites foi até criado para parecer que pertencia a uma empresa de antivírus legítima.
O final do esquema consistia na criação pela app de um SMS que parecia ter sido criado como uma ativação do produto antivírus. Como a aplicação não tinha permissão para conseguir ela própria enviar um SMS, usava abordagens de engenharia social para convencer o próprio utilizador a fazê-lo manualmente. Nos casos em que tal fosse efetivamente conseguido, o custo para o proprietário do dispositivo era de 4,80 euros por semana.
Conclusão
Os danos provocados por mais esta recente descoberta de malware Android são menos graves quando comparados com o malware de encriptação de ficheiros tipo Android/Simplocker mas a seriedade desta ameaça reside no facto de que foi descarregada quase 3 milhões de vezes a partir da loja oficial Google Play.
O Google Bouncer tem estado a ser usado desde o final de 2011 em todas as aplicações submetidas à loja oficial e a tecnologia foi efetivamente capaz de reduzir a percentagem de apps maliciosas em cerca de 40%. Contudo, no passado mês de Março, a Google anunciou que todas as aplicações passarão a ser verificadas por humanos – uma decisão que deverá levar a um aumento de significativo da segurança e a uma redução das aplicações maliciosas na loja Google Play.
De uma maneira geral, os utilizadores de dispositivos Android podem evitar a instalação de software malicioso ou indesejado. Uma das principais formas é evitar o download a partir de fontes não oficiais; a outra é obterem software de segurança para o seu dispositivo – como o ESET Mobile Security, por exemplo – e manterem-no atualizado
É também aconselhado que, antes de descarregar qualquer aplicação, se gaste algum tempo a ler os comentários de outros utilizadores bem como dar atenção ao tipo de permissões que a app solicita no momento da instalação.