Desenvolvedores de malware criaram um mercado próspero prometendo adicionar aplicativos maliciosos para Android ao Google Play por US$ 2.000 a US$ 20.000, dependendo do tipo de comportamento malicioso solicitado pelos criminosos cibernéticos.
O preço exato desses serviços é negociado caso a caso em fóruns de hackers ou canais do Telegram, permitindo que os criminosos cibernéticos personalizem aplicativos maliciosos para Android com seu próprio malware ou funcionalidade.
O Google Play é a loja de aplicativos oficial do Android, promovida como uma maneira confiável e segura de instalar aplicativos em dispositivos móveis que tem um público composto por bilhões de usuários.
Portanto, ser capaz de adicionar um aplicativo malicioso para Android à loja confiável do Google Play fornece uma ampla base de alvos para roubar credenciais e dados, realizar fraudes financeiras ou fornecer anúncios indesejados.
Em um novo relatório da Kaspersky, pesquisadores ilustram como os atores ameaçadores oferecem serviços que prometem a adição de aplicativos de malware para Android ao Google Play.
Esses serviços são oferecidos via Telegram, mercados dark web e fóruns de hacking que permitem que os atores ameaçadores promovam seus serviços.
Os desenvolvedores de malware prometem ocultar malware em aplicativos com aparência legítima que se passam por programas antivírus, gerenciadores de ativos de criptomoedas, scanners de código QR, jogos pequenos e aplicativos de namoro.
A Kaspersky relata que, além dos carregadores do Google Play, que são vendidos por uma média de cerca de US$ 7.000, os criminosos cibernéticos também vendem serviços como obfuscation de malware por US$ 8 a US$ 30 ou contas de desenvolvedor do Google "limpas" que custam US$ 60.
Esses aplicativos maliciosos, mas inofensivos, são publicados no Google Play, mas incluem a capacidade de buscar código malicioso via uma atualização posterior.
Alternativamente, os usuários podem receber uma notificação para instalar outro aplicativo de uma fonte externa.
Esses serviços garantem que o aplicativo permaneça no Google Play por pelo menos uma semana, com alguns desenvolvedores prometendo pelo menos 5.000 instalações.
Ao serem instalados, os aplicativos carregadores de malware solicitam ao usuário que conceda permissões arriscadas, como acesso à câmera, microfone ou serviços de acessibilidade do telefone e impedem o acesso às principais funções do aplicativo até que as solicitações sejam aprovadas.
Em seguida, os autores desses aplicativos vendem acesso aos seus carregadores para compradores interessados e os configuram para injetar payloads adicionais.
Em alguns casos vistos pela Kaspersky, os vendedores leiloam seus carregadores para maximizar seu lucro, começando em US$ 1.500 e definindo o preço de compra instantânea em US$ 7.000.
Para promover esses carregadores, os vendedores publicam vídeos mostrando suas características, interface amigável ao usuário, filtros de segmentação granulares e muito mais.
"Os criminosos cibernéticos também podem complementar o aplicativo com funcionalidade para detectar um depurador ou ambiente sandbox", explica a Kaspersky.
"Se um ambiente suspeito for detectado, o carregador pode interromper suas operações ou notificar o criminoso cibernético de que provavelmente foi descoberto por investigadores de segurança." Para aumentar o número de instalações de malware via carregadores do Google Play, os criminosos cibernéticos também podem oferecer para executar campanhas publicitárias do Google em nome de seus clientes.
Além dos carregadores, os criminosos cibernéticos também oferecem os chamados serviços de "vinculação", que envolvem a ocultação de APKs maliciosos em aplicativos legítimos que podem passar pelas verificações de segurança do Google.
A empresa de segurança cibernética ThreatFabric também relatou um serviço semelhante chamado 'Zombinder' em dezembro de 2022, empurrando o Erbium Stealer para milhares de vítimas.
O custo desses serviços é significativamente menor em comparação com os carregadores, pedindo entre US$ 50 e US$ 100 por arquivo.
Para se defender contra esses ataques furtivos, os usuários do Android devem revisar cuidadosamente as permissões solicitadas na instalação do aplicativo, verificar os comentários do usuário no Google Play e manter o número de aplicativos instalados no mínimo.
Ainda mais importante, nunca instale APKs do Android de sites de terceiros, pois eles são um método comum de distribuição de malware.
Atualização 4/12 - Um porta-voz do Google enviou ao BleepingComputer o seguinte comentário:
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...