Google Play dissemina malwares
16 de Outubro de 2024

A Google Play, loja oficial para Android, distribuiu ao longo de um ano mais de 200 aplicações maliciosas, que contabilizaram coletivamente quase oito milhões de downloads.

Os dados foram coletados entre junho de 2023 e abril de 2024 por pesquisadores de threat intelligence na Zscaler, que identificaram e analisaram famílias de malware tanto na Google Play quanto em outras plataformas de distribuição.

As ameaças mais comuns descobertas pelos pesquisadores na loja oficial de aplicativos do Android incluem:

- Joker (38,2%): Info-stealer e capturador de mensagens SMS que inscreve vítimas em serviços premium
- Adware (35,9%): Aplicativos que consomem largura de banda da internet e bateria para carregar anúncios intrusivos em primeiro plano ou anúncios invisíveis em segundo plano, gerando impressões fraudulentas de anúncios
- Facestealer (14,7%): Ladrões de credenciais de contas do Facebook que sobrepõem formulários de phishing em cima de aplicativos sociais legítimos
- Coper (3,7%): Info-stealer e interceptador de mensagens SMS que também pode realizar keylogging e sobrepor páginas de phishing
- Loanly Installer (2,3%)
- Harly (1,4%): Aplicativos tipo trojan que inscrevem vítimas em serviços premium
- Anatsa (0,9%): Anatsa (ou Teabot) é um trojan bancário que tem como alvo mais de 650 aplicativos de bancos em todo o mundo

No início deste ano, em maio, os mesmos pesquisadores alertaram sobre mais de 90 aplicativos maliciosos na Google Play, com um número de downloads de 5,5 milhões.

Embora a Google tenha mecanismos de segurança para detectar aplicativos maliciosos, os atores de ameaças ainda têm alguns truques para contornar o processo de verificação.

Em um relatório do ano passado, a equipe de segurança do Google Cloud descreveu o 'versioning', um método que entrega malware por meio de atualizações de aplicativos ou carregando-o de servidores controlados pelo atacante.

Independente do método usado para entregar malware pela Google Play, algumas campanhas são mais bem-sucedidas do que outras.

Enquanto o relatório da Zscaler focou em malware para Android mais comum, outros pesquisadores descobriram campanhas que também usaram a Google Play para distribuir malware para milhões.

Em um caso, o carregador de malware Necro para Android foi baixado 11 milhões de vezes por meio de apenas dois aplicativos publicados na loja oficial.

Em outro caso, o malware para Android Goldoson foi detectado em 60 aplicativos legítimos que, coletivamente, tiveram 100 milhões de downloads.

No ano passado, o SpyLoan foi encontrado em aplicativos na Google Play que foram baixados mais de 12 milhões de vezes.

Quase metade dos aplicativos maliciosos que o Zscaler ThreatLabz descobriu foram publicados na Google Play sob as categorias de ferramentas, personalização, fotografia, produtividade e estilo de vida.

Em termos de bloqueios de malware tentados este ano, a Zscaler relata que a tendência mostra um declínio geral, conforme medido por transações bloqueadas.

Em média, o ThreatLabz registrou 1,7 milhão de bloqueios por mês, com 20 milhões de bloqueios registrados ao longo do período de análise, sendo as ameaças mais comuns Vultur, Hydra, Ermac, Anatsa, Coper e Nexus.

O relatório de ameaças móveis da Zscaler também mostra um aumento significativo de infecções por spyware, impulsionado principalmente pelas famílias SpyLoan, SpinOK e SpyNote.

No último ano, a empresa registrou 232.000 bloqueios de atividade de spyware.

Os países mais visados ​​pelo malware para dispositivos móveis no último ano foram Índia e Estados Unidos, seguidos por Canadá, África do Sul e Holanda.

De acordo com o relatório, o malware móvel visou principalmente o setor de educação, onde a quantidade de transações bloqueadas aumentou 136,8%.

O setor de serviços registrou um aumento de 40,9%, e o setor de química e mineração, um aumento de 24%.

Todos os outros setores mostraram um declínio geral.

Para minimizar as chances de ser infectado por malware da Google Play, os usuários são aconselhados a ler as avaliações de outros para ver quais problemas foram reportados e verificar o publicador do aplicativo.

Os usuários também devem verificar as permissões solicitadas no momento da instalação e abortar o processo se o aplicativo requerer permissões que não se encaixam em sua atividade.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...