Malware, ativo desde pelo menos outubro de 2022, tem como alvo usuários nos EUA, Coreia do Sul, Brasil, Alemanha, Reino Unido e França
A Bitdefender descobriu uma campanha oculta de malware que não foi detectada em dispositivos móveis em todo o mundo por mais de seis meses, projetada para enviar adware para dispositivos Android. “No entanto, os operadores de ameaças envolvidos podem facilmente mudar de tática para redirecionar os usuários para outros tipos de malware, como trojans bancários para roubar credenciais e informações financeiras ou espalhar ransomware”, disse a empresa de segurança cibernética em um post no blog corporativo.
Até o momento, a Bitdefender descobriu 60 mil aplicativos Android exclusivos infectados com o adware e suspeita que haja muito mais por aí. O malware está ativo desde pelo menos outubro de 2022. Ele tem como alvo usuários nos EUA, Coreia do Sul, Brasil, Alemanha, Reino Unido e França. “Devido ao alto número de amostras únicas descobertas, a operação provavelmente é totalmente automatizada”, disse a empresa.
O operador da ameaça usa aplicativos de terceiros para distribuir o malware, pois não está em nenhuma loja oficial. “Os operadores do malware, no entanto, ainda precisam persuadir os usuários a baixar e instalar aplicativos de terceiros, para disfarçar sua ameaça em itens muito procurados que eles não encontram nas lojas oficiais, mesmo que sejam legítimos”, disse a Bitdefender.
Em certos casos, os aplicativos simplesmente imitavam os reais publicados na Play Store. Alguns dos tipos de aplicativos imitados pelo malware incluem cracks de jogos, jogos com recursos desbloqueados, VPN grátis, vídeos falsos, Netflix, tutoriais falsos, YouTube e TikTok sem anúncios, programas utilitários crackeados, programas de previsão do tempo, visualizadores de PDF etc.
“A distribuição é orgânica, pois o malware aparece ao procurar por esses tipos de aplicativos, mods, cracks, etc.”, disse a Bitdefender, acrescentando que os mod apps são uma “mercadoria quente”, com sites dedicados inteiramente a oferecer esses tipos de pacotes.
Normalmente, os mod apps são aplicativos originais modificados com todas as suas funcionalidades desbloqueadas ou apresentando alterações na programação inicial. Quando um usuário abre um site a partir de uma pesquisa no Google de um aplicativo mod, ele é redirecionado para uma página de anúncio aleatória. Às vezes, essa página é uma página de download de malware disfarçada como um download legítimo do mod que o usuário estava procurando.
Fugindo da detecção por seis meses
Os aplicativos com o malware agem como um aplicativo Android normal para instalação e solicitam que o usuário clique em “abrir”. Uma vez instalado, o aplicativo não se configura para ser executado automaticamente, pois isso pode exigir privilégios adicionais.
O Google removeu a capacidade de ocultar o ícone do aplicativo no Android depois que um iniciador é registrado. No entanto, isso só se aplica se o iniciador estiver registrado. “Para contornar isso, o aplicativo não registra nenhum iniciador e depende do usuário e do comportamento padrão de instalação do Android para ser executado pela primeira vez”, disse a Bitdefender.
Uma vez instalado, o malware mostra uma mensagem informando que “o aplicativo não está disponível” para induzir o usuário a pensar que o malware nunca foi instalado. “O fato de não ter ícone no iniciador e um caractere UTF-8 no rótulo torna mais difícil localizá-lo e desinstalá-lo. Sempre estará no final da lista, o que significa que é menos provável que o usuário o encontre”, disse a Bitdefender no blog.
Depois de iniciado, o aplicativo se comunicará com os servidores dos invasores e recuperará URLs de anúncios para serem exibidos no navegador móvel ou como um anúncio WebView em tela cheia.
Os dispositivos Android estão se tornando cada vez mais um alvo atraente para os operadores de ameaças. No mês passado, um módulo de software Android com funcionalidade de spyware chamado SpinOk foi descoberto pela empresa de segurança cibernética Doctor Web.
O malware coleta informações sobre arquivos armazenados em dispositivos e pode transferi-los para agentes mal-intencionados. Ele também pode substituir e carregar o conteúdo da área de transferência para um servidor remoto. Aplicativos Android contendo o módulo SpinOk com recursos de spyware foram instalados mais de 421 milhões de vezes.
No início desta semana, outros 101 aplicativos comprometidos com o malware SpinOK Android distribuído como um SDK de propaganda foram descobertos pela CloudSek. Destes, 43 aplicativos ainda estão ativos na Play Store, incluindo alguns com mais de 5 milhões de downloads. No total, estima-se que 30 milhões de usuários sejam afetados por esses aplicativos adicionais.
Fonte:
https://www.cisoadvisor.com.br/mais-de-60-mil-apps-android-infectados-com-adware/