Este é mais um caso de “ciência maquiavélica” perpetrada por criminosos que usam a chamada engenharia social para roubar o utilizador mais incauto.
Na mesma altura, temos dois problemas diferentes de código QR que afetam os dispositivos Android e iOS. No caso do Android é um malware, enquanto no iOS é um bug (sim, mais um).
Ontem foi dado a conhecer que o iOS tem mais um bug e desta vez algo que pode levar o utilizador a cair num esquema malicioso. Como vimos ontem em detalhe, o iOS, com a chegada da versão iOS 11, trouxe ao utilizador um pequeno incremento interessante na app da câmara.
Desde essa altura passou a ser possível ler (nativamente) um código QR sem a necessidade de recorrer a apps de terceiros. No entanto, o site alemão Infosec descobriu que esta funcionalidade pode ser usada por cibercriminosos para realizar ataques, uma vez que ao ler um código QR é apresentada a informação de um site, mas o utilizador pode ser redirecionado para outro (por exemplo, um site com malware).
Aplicações QR Android inocentes escondem malware dentro
Como referimos, atualmente, de forma não inocente, temos dois problemas diferentes de código QR que afetam os dispositivos Android e iOS. Se no caso do iOS é um bug do próprio sistema operativo, já no caso do Android é mesmo malware em algumas aplicações.
Quem o refere é a empresa de segurança SophosLabs, que descobriu algumas aplicações para Android com malware e que estavam na Play Store. Essas aplicações disfarçam o malware com funcionalidades para ler códigos QR e outras ações que são o engodo ao utilizador.
Embora esse não seja o primeiro caso de apps infetadas por malware dentro da Google Play Store, o malware Andr / HiddnAd-AJ, oculto nessas aplicações, foi criado para parecer uma biblioteca de programação do Android. Dessa forma, conseguiram ludibriar o sistema de filtragem da Google.
Além disso, estas aplicações não revelam as suas verdadeiras intenções até seis horas após a instalação. Depois disso, começam a inundar os dispositivos com anúncios.
O Google já removeu estas aplicações com malware, pelo menos estas que foram apontadas, mas para termos uma ideia, enquanto lá estiveram expostas na Play Store, foram descarregadas mais de 500.000 vezes. O subterfúgio usado pelos programadores para enganar o sistema “Play Protect” da Google parece surpreendentemente simples:
- Primeiro, as apps eram, pelo menos superficialmente, o que realmente afirmavam ser: seis eram aplicações de leitura de código QR e uma era a chamada “bússola inteligente”. Por outras palavras, se estivesse apenas a testar apps por diversão, ou por um outro qualquer motivo, estaria inclinado a julgá-las pelas suas próprias descrições.
- Segundo, os criminosos não ativaram a parte de adware das suas apps imediatamente, esconderam-se inocentemente por algumas horas antes de ativar uma enxurrada de anúncios.
- Em terceiro lugar, a parte de adware de cada app foi incorporada, no que parece à primeira vista, como uma biblioteca de programação padrão do Android que foi inserida no software.
Ao adicionar um subcomponente “graphics” de aparência inocente a uma coleção de rotinas de programação que esperaria encontrar num app Android vulgar, o mecanismo de adware dentro da aplicação está efetivamente a ser camuflado.
Apesar de toda a sua aparente inocência, no entanto, este malware não exibe apenas páginas de publicidade da Web, mas também pode enviar notificações do Android, incluindo links clicáveis, para atrair o utilizador a gerar receita publicitária para os criminosos.