Pesquisadores de cybersecurity estão chamando a atenção para uma nova mudança no cenário de malware no Android, onde dropper apps, que normalmente são usados para entregar banking trojans, agora também distribuem malwares mais simples, como SMS stealers e spyware básico.
Essas campanhas se propagam por meio de dropper apps que se passam por aplicativos governamentais ou bancários na Índia e em outras regiões da Ásia, informou a ThreatFabric em um relatório divulgado na semana passada.
A empresa holandesa de segurança móvel afirmou que a mudança é motivada pelas recentes proteções de segurança que o Google tem testado em mercados selecionados, como Singapura, Tailândia, Brasil e Índia, para bloquear o sideloading de apps potencialmente suspeitos que solicitam permissões perigosas, como acesso a SMS messages e accessibility services — esta última, uma configuração muito explorada para realizar ações maliciosas em dispositivos Android.
“As defesas do Google Play Protect, especialmente o programa piloto direcionado, estão cada vez mais eficazes em impedir que apps arriscados sejam executados,” disse a empresa.
Além disso, os atacantes querem tornar suas operações à prova de futuro.
Ao encapsular até mesmo payloads básicos dentro de um dropper, eles ganham uma camada protetora que pode driblar as verificações atuais, mantendo flexibilidade para trocar payloads e pivotar campanhas no futuro.
A ThreatFabric apontou que, embora a estratégia do Google eleve o nível de proteção ao bloquear um app malicioso antes mesmo do usuário interagir com ele, os atacantes estão experimentando novas formas de contornar essas salvaguardas — um indicativo do jogo interminável de gato e rato na área de segurança.
Isso inclui projetar droppers que, levando em conta o Pilot Program do Google, não solicitam permissões de alto risco e exibem apenas uma tela “de atualização” inofensiva, que consegue passar despercebida pelas verificações regionais.
Mas é somente quando o usuário clica no botão "Update" que o payload real é buscado de um servidor externo ou descompactado, e então solicita as permissões necessárias para cumprir seus objetivos.
“O Play Protect pode exibir alertas sobre os riscos durante outra varredura, mas enquanto o usuário aceitar esses avisos, o app será instalado e o payload entregue,” explicou a ThreatFabric.
Isso ilustra uma falha crítica: o Play Protect ainda permite apps arriscados se o usuário clicar em Instalar mesmo assim, e o malware consegue burlar o Pilot Program.
Um desses droppers é o RewardDropMiner, que além de entregar payloads de spyware, também foi identificado com um minerador de criptomoeda Monero, que pode ser ativado remotamente.
No entanto, versões recentes da ferramenta não incluem mais essa funcionalidade de mineração.
Alguns dos apps maliciosos entregues via RewardDropMiner, todos focados em usuários na Índia, são:
- PM YOJANA 2025 (com.fluvdp.hrzmkgi)
- RTO Challan (com.epr.fnroyex)
- SBI Online (com.qmwownic.eqmff)
- Axis Card (com.tolqppj.yqmrlytfzrxa)
Outros variantes de droppers que evitam disparar alertas do Play Protect ou do Pilot Program incluem SecuriDropper, Zombinder, BrokewellDropper, HiddenCatDropper e TiramisuDropper.
Questionada, a Google afirmou ao The Hacker News que não encontrou nenhum app usando essas técnicas distribuídos via Play Store e que está constantemente adicionando novas proteções.
“Independentemente da origem do app – mesmo que seja instalado por meio de um 'dropper' –, o Google Play Protect ajuda a manter os usuários seguros, verificando automaticamente a presença de ameaças,” disse um porta-voz.
A proteção contra essas versões de malware identificadas já estava presente no Google Play Protect antes desse relatório.
De acordo com nossa detecção atual, nenhum app contendo essas versões foi encontrado na Google Play.
Estamos continuamente aprimorando nossas proteções para manter os usuários longe de atores maliciosos.
Esse desenvolvimento ocorre enquanto o Bitdefender Labs alertou para uma nova campanha que utiliza anúncios maliciosos no Facebook para oferecer uma versão premium gratuita do app TradingView para Android, cuja real intenção é instalar uma versão aprimorada do banking trojan Brokewell, capaz de monitorar, controlar e roubar informações sensíveis do dispositivo da vítima.
Desde 22 de julho de 2025, foram veiculados pelo menos 75 anúncios maliciosos, alcançando dezenas de milhares de usuários somente na União Europeia.
A onda de ataques no Android faz parte de uma operação maior de malvertising que também explorou anúncios no Facebook para atingir desktops Windows, sob o disfarce de diversos apps financeiros e de criptomoedas.
“Essa campanha demonstra como os cibercriminosos estão refinando suas táticas para acompanhar o comportamento dos usuários,” explicou a empresa romena de cybersecurity.
Ao focar em usuários móveis e disfarçar malware como ferramentas confiáveis de trading, os atacantes esperam lucrar com a crescente dependência de apps de criptomoedas e plataformas financeiras.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...