Atores de ameaças estão usando uma técnica chamada versionamento para evitar detecções de malware na Google Play Store e atacar usuários de Android.
"Campanhas que utilizam versionamento geralmente visam credenciais, dados e finanças dos usuários", disse a Equipe de Ação de Cibersegurança do Google (GCAT) em seu relatório de Horizontes de Ameaça de agosto de 2023 compartilhado com o The Hacker News.
Embora o versionamento não seja um fenômeno novo, ele é sorrateiro e difícil de detectar.
Neste método, um desenvolvedor lança uma versão inicial de um aplicativo na Play Store que passa nas checagens pré-publicação do Google, mas que é posteriormente atualizado com um componente de malware.
Isto é feito ao enviar uma atualização de um servidor controlado pelo atacante para disponibilizar código malicioso no dispositivo do usuário final usando um método chamado carregamento dinâmico de código (CD), transformando efetivamente o aplicativo em um backdoor.
Em maio desse ano, o ESET descobriu um aplicativo de gravação de tela chamado "iRecorder - Screen Recorder" que permaneceu inofensivo por quase um ano após ter sido carregado pela primeira vez na Play Store antes que mudanças maliciosas fossem introduzidas para espionar seus usuários secretamente.
Outro exemplo de malware usando o método de CD é o SharkBot, que apareceu repetidamente na Play Store se passando por aplicativos de segurança e utilitários.
SharkBot é um trojan financeiro que inicia transferências de dinheiro não autorizadas de dispositivos comprometidos usando o protocolo Serviço de Transferência Automatizado (STA).
Os aplicativos que aparecem na loja vêm com funcionalidade reduzida que, uma vez instalados pelas vítimas, baixam uma versão completa do malware na tentativa de atrair menos atenção.
"Em um ambiente corporativo, o versionamento demonstra a necessidade de princípios de defesa em profundidade, incluindo, mas não se limitando a limitar as fontes de instalação de aplicativos a fontes confiáveis como o Google Play ou gerenciar dispositivos corporativos por meio de uma plataforma de gerenciamento de dispositivos móveis (MDM)", disse a empresa.
A descoberta surge à medida que a ThreatFabric revelou que os provedores de malware têm explorado um bug no Android para passar aplicativos maliciosos como benignos ao "corromper componentes de um aplicativo" de forma a que o aplicativo como um todo permaneça válido, de acordo com o KrebsOnSecurity.
"Atores podem ter vários aplicativos publicados na loja ao mesmo tempo sob diferentes contas de desenvolvedor, no entanto, apenas um está agindo como malicioso, enquanto o outro é um backup para ser usado após a remoção", observou a empresa holandesa de cibersegurança em junho.
"Tal tática ajuda os atores a manterem campanhas muito longas, minimizando o tempo necessário para publicar outro aplicativo e continuar a campanha de distribuição."
Para mitigar quaisquer riscos potenciais, é recomendado que os usuários de Android recorram a fontes confiáveis para baixar aplicativos e ativem o Google Play Protect para receber notificações quando um aplicativo potencialmente prejudicial (APP) for encontrado no dispositivo.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...