Cibercriminosos recorrem a Loaders Android na Dark Web para evitar segurança do Google Play
12 de Abril de 2023

Programas de carga maliciosos capazes de trojanizar aplicativos Android estão sendo vendidos no mercado negro por até US$ 20.000 como forma de evitar as defesas do Google Play Store.

"As categorias de aplicativos mais populares para esconder malware e software indesejado incluem rastreadores de criptomoedas, aplicativos financeiros, scanners de código QR e até mesmo aplicativos de namoro", disse a Kaspersky em um novo relatório com base em mensagens postadas em fóruns online entre 2019 e 2023.

Os aplicativos de queda são o principal meio para os atores de ameaças que procuram introduzir malware através do Google Play Store.

Tais aplicativos muitas vezes se disfarçam como aplicativos aparentemente inofensivos, com atualizações maliciosas introduzidas após a revisão do processo e os aplicativos acumularam uma base significativa de usuários.

Isso é conseguido usando um programa de carga que é responsável por injetar malware em um aplicativo limpo, que é então disponibilizado para download no mercado de aplicativos.

Os usuários que instalam o aplicativo adulterado são solicitados a conceder permissões invasivas para facilitar atividades maliciosas.

Os aplicativos, em alguns casos, também incorporam recursos anti-análise para detectar se estão sendo depurados ou instalados em um ambiente em sandbox, e se sim, interromper suas operações nos dispositivos comprometidos.

Como outra opção, os atores de ameaças podem comprar uma conta de desenvolvedor do Google Play - seja invadida ou recém-criada pelos vendedores - por qualquer lugar entre US$ 60 e US$ 200, dependendo do número de aplicativos já publicados e do número de downloads.

Contas de desenvolvedor de aplicativos que não possuem proteções fortes de senha ou autenticação de dois fatores (2FA) podem ser facilmente quebradas e colocadas à venda, permitindo que outros atores carreguem malware em aplicativos existentes.

Uma terceira alternativa é o uso de serviços de vinculação de APKs, que são responsáveis por ocultar um arquivo APK malicioso em um aplicativo legítimo, para distribuir malware por meio de mensagens de phishing e sites duvidosos que anunciam jogos e software rachados.

Os serviços de vinculação, ao contrário dos carregadores, custam menos devido ao fato de que os aplicativos envenenados não estão disponíveis via Google Play Store.

Notavelmente, a técnica foi usada para fornecer trojans bancários Android como SOVA e Xenomorph no passado.

OUTRO WEBINAR PRÓXIMO Aprenda a Proteger o Perímetro de Identidade - Estratégias Comprovadas Melhore a segurança de sua empresa com nosso próximo webinar de cibersegurança liderado por especialistas: Explore as estratégias de Perímetro de Identidade! Não perca - salve seu lugar! Alguns outros serviços ilícitos oferecidos à venda em mercados de crimes cibernéticos incluem obfuscação de malware (US$ 30), injetores da web (US$ 25-80) e servidores virtuais privados (US$ 300), este último dos quais pode ser usado para controlar dispositivos infectados ou redirecionar o tráfego do usuário.

Além disso, os atacantes podem comprar instalações para seus aplicativos Android (legítimos ou não) por meio do Google Ads por US$ 0,5 em média.

Os custos de instalação variam com base no país alvo.

Para mitigar os riscos apresentados pelo malware do Android, os usuários são recomendados a evitar a instalação de aplicativos de fontes desconhecidas, analisar as permissões do aplicativo e manter seus dispositivos atualizados.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...