A journalist uses the new Samsung Galaxy S10 smartphone at a press event in London, Britain February 20, 2019. REUTERS/Henry Nicholls
Aplicativos falsos na Play Store possuíam componente malicioso chamado de 'Clast82 — Foto: Check Point/Reprodução

Aplicativos falsos na Play Store possuíam componente malicioso chamado de ‘Clast82 — Foto: Check Point/Reprodução

Especialistas da empresa de segurança Check Point descobriram aplicativos publicados na Play Store que tinham capacidade para instalar o ladrão de senhas bancárias “AlienBot” nos celulares com Android.

Segundo os especialistas, foram identificadas mais de 100 “payloads” (cargas maliciosas) diferentes ligadas a esse software. Além de roubar senhas bancárias, ele permite o controle remoto do smartphone.

O AlienBot funciona em um modelo de “malware como serviço”, no qual o criador do ladrão de senhas condiciona o uso da ferramenta a um pagamento ou comissão. Outros criminosos precisam encontrar um meio de chegar aos dispositivos das vítimas e operacionalizar a fraude bancária.
Por isso, o foco da análise da Check Point foi o código de instalação do AlienBot usado nos apps, designado como “Clast82”. Considerado inédito, foi graças a esse código que os apps conseguiram aprovação na Play Store.

Das dez versões dos aplicativos identificados com o Clast82, sete estavam “ativadas”. As outras três ainda estavam em estado ocioso, em que nenhum app adicional é instalado no celular.

De acordo com os especialistas da Check Point, esse estado “ocioso” foi usado pelos criadores dos códigos para impedir que a filtragem realizada pela Play Store identificasse o comportamento indevido. Quando está “desativado”, o app é inofensivo.

O componente malicioso da programação só passava para o estado ativo após a publicação do app na Play Store. Essa mudança de estado ocorria por meio de um comando baixado de um servidor de controle acessado pelo app.

Nesse momento, o app baixava o instalador do AlienBot, o app pedia autorização do usuário para instalar o “Google Play Services” – um nome falso para o componente malicioso do ladrão de senhas bancárias.

O pedido se repetia a cada cinco segundos, tornando o uso do celular praticamente inviável.

Em celulares com versões mais antigas do Android e que foram configurados para permitir a instalação de apps de fontes desconhecidas, a instalação poderia ocorrer automaticamente. Por essa razão, não é recomendado manter essa opção ativa.

: Autorização para instalar aplicativos de fontes desconhecidas no Android deve ser desativada para ajudar a evitar ataques — Foto: Reprodução

Autorização para instalar aplicativos de fontes desconhecidas no Android deve ser desativada para ajudar a evitar ataques — Foto: Reprodução

Apps já foram removidos da Play Store

A descoberta dos apps ocorreu no fim de janeiro e o Google foi comunicado pela Check Point no dia 28 daquele mês. No dia 9 de fevereiro, o Google informou à empresa que os apps já não estavam mais na loja.

O relatório do caso só foi publicado pela Check Point nesta terça-feira (9), um mês depois após o Google garantir que os apps com o Clast82 foram removidos da Play Store.

A maioria dos apps se disfarçava de serviços de VPN, com nomes como “Cake VPN”, “Pacific VPN” e “eVPN”. Alguns também se passavam por reprodutores de música, como o “BeatPlayer” e o “MusicPlayer”.

Caso você tenha instalado qualquer app malicioso removido da Play Store, o Play Protect, que funciona como um antivírus embutido no Android, deverá detectar o software e removê-lo.

Exemplo de alerta do Play Protect, o sistema de segurança incluso no Android. — Foto: Reprodução

Exemplo de alerta do Play Protect, o sistema de segurança incluso no Android. — Foto: Reprodução

Deixe uma resposta