Mais de 60.000 aplicativos Android disfarçados como aplicativos legítimos têm instalado silenciosamente adware em dispositivos móveis, permanecendo indetectáveis nos últimos seis meses.
A descoberta é da empresa romena de cibersegurança Bitdefender, que detectou os aplicativos maliciosos usando uma função de detecção de anomalias adicionada ao seu software Bitdefender Mobile Security no mês passado.
"Até agora, a Bitdefender descobriu 60.000 amostras diferentes (aplicativos únicos) carregando o adware e suspeitamos que há muito mais em circulação", alertou a empresa romena de cibersegurança Bitdefender.
A campanha acredita-se ter começado em outubro de 2022 e está sendo distribuída como software de segurança falso, cracking de jogos, cheats, software VPN, Netflix e aplicativos de utilidade em sites de terceiros.
Os aplicativos maliciosos não são hospedados no Google Play, mas em sites de terceiros no Google Search que empurram APKs, pacotes de Android que permitem a instalação manual de aplicativos móveis.
Ao visitar os sites, você será redirecionado para sites que mostram anúncios ou solicitado a baixar o aplicativo procurado.
Os sites de download são criados de propósito para distribuir os aplicativos Android maliciosos como um APK que, quando instalado, infecta os dispositivos Android com adware.
Quando o aplicativo é instalado, ele não se configura para ser executado automaticamente, pois isso exige privilégios adicionais.
Em vez disso, ele depende do fluxo normal de instalação de aplicativos Android, que solicita aos usuários que "Abram" um aplicativo depois de instalado.
Além disso, os aplicativos não utilizam um ícone e têm um caractere UTF-8 no rótulo do aplicativo, tornando-o mais difícil de detectar.
Isso é uma faca de dois gumes, pois também significa que se um usuário não iniciar o aplicativo depois de instalado, é provável que ele não seja iniciado depois.
Se iniciado, o aplicativo exibirá uma mensagem de erro indicando que "O aplicativo não está disponível em sua região.
Toque OK para desinstalar." No entanto, na realidade, o aplicativo não é desinstalado, mas simplesmente dorme por duas horas antes de registrar dois "intents" que fazem o aplicativo ser iniciado quando o dispositivo é inicializado ou quando o dispositivo é desbloqueado.
A Bitdefender diz que o último intent é desativado nos primeiros dois dias, provavelmente para evitar detecção pelo usuário.
Quando iniciado, o aplicativo se conectará aos servidores dos atacantes e recuperará URLs de anúncios a serem exibidos no navegador móvel ou como um anúncio WebView em tela cheia.
Embora os aplicativos maliciosos sejam atualmente usados apenas para exibir anúncios, os pesquisadores alertam que os atores da ameaça poderiam facilmente trocar as URLs de adware por sites mais maliciosos.
"Após análise, a campanha é projetada para empurrar agressivamente adware para dispositivos Android com o objetivo de gerar receita", alerta a Bitdefender.
"No entanto, os atores da ameaça envolvidos podem facilmente mudar de tática para redirecionar os usuários para outros tipos de malware, como cavalos de Troia bancários para roubar credenciais e informações financeiras ou ransomware."
Os dispositivos Android são altamente visados pelos desenvolvedores de malware, pois são capazes de instalar aplicativos fora da Google Play Store, onde não são melhor inspecionados quanto a malware.
No entanto, os atores da ameaça continuam a evitar a detecção, mesmo no Google Play, permitindo a ampla distribuição de aplicativos maliciosos.
Apenas na semana passada, pesquisadores da Dr. Web e CloudSEK descobriram um SDK de spyware malicioso instalado mais de 400 milhões de vezes em dispositivos Android de aplicativos no Google Play.
Embora o Google Play ainda tenha sua parcela de aplicativos maliciosos, instalar seus aplicativos Android na loja oficial do Android é muito mais seguro.
Também é fortemente recomendado não instalar nenhum aplicativo Android em sites de terceiros, pois eles são um vetor comum para malware.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...