Há uma nova forma de infectar os dispositivos Android. Desta vez foi criado um trojan que, a partir do Windows, sempre que seja ligado ao PC um dispositivo Android, este prepara uma instalação de malware home banking.
Estas informações foram avançadas pela empresa de segurança Symantec.
Este é um método pouco usual e é como voltar às origens, uma vez que os métodos mais conhecidos e também os mais bem sucedidos resultam de uma engenharia social envolvendo o utilizador em esquemas para instalarem apps falsas que existem em centenas de lojas piratas para dispositivos Android.
Segundo o que Flora Liu, investigador Symantec, escreveu no blog, “…já era conhecido um método do malware Android que tentava infectar o Windows. Era descarregado um ficheiro malicioso com execução portátil junto com um ficheiro autorun.inf e era colocado na directoria root do cartão SD. Quando o dispositivo móvel comprometido é ligado ao computador por USB e se a opção AutoRun estiver ligada, o Windows irá de forma automática executar o tal ficheiro de malware”.
Mas mais recentemente foi descoberto um método contrário, uma ameaça do Windows que tenta infectar os dispositivos Android, como explicou Liu.
Este novo malware, registado com o nome Trojan.Droidpak by Symantec, deixa um ficheiro DLL no Windows e regista de imediato um novo serviço para assegurar que, após o computador ser reiniciado, este se mantém no sistema. A seguir descarrega um ficheiro de configuração, a partir de um servidor remoto que contém a localização do APK malicioso, ficheiro designado como AV-cdk.apk.
O tal programa Trojan descarrega então o APK malicioso assim como a ferramenta de linha de comando Android Debug Bridge (ADB). Na prática, esta ferramenta do pacote SDK, permite que os utilizadores possam aceder e gerir o seu dispositivo Android. Além da comunicação entre computador e dispositivo Android, o ADB permite ainda que se instalem aplicações, que se copie informação entre o PC e o equipamento Android e também que se corram alguns comandos na shell do Android
O malware passa assim à acção começando por executar o comando “adb.exe instalar AV-cdk.apk” repetidamente, assegurando-se que em qualquer altura um dispositivo Android for ligado ao computador “infectado” o APK malicioso será de forma silenciosa instalado no dispositivo. Esta aproximação tem, contudo, uma limitação: só funcionará se a opção “USB debugging” estiver activa no dispositivo Android.
USB debugging ou Depuração USB é uma opção usada normalmente por developers Android. Esta funcionalidade é também requisitada em alguns cenários que nada têm a ver com programação, como por exemplo, quando se faz rooting ao sistema operativo, quando queremos fazer capturas do ecrã em dispositivos com versões antigas do Android ou quando se instala firmware para Android personalizado. Mesmo que esta opção seja usada de forma muito esporádica, os utilizadores que a activam, para uma determinada tarefa, muitas vezes esquecem-se de a desligar, mesmo que nunca mais necessitem dela.
O APK malicioso distribuído pelo Windows foi detectado pela Symantec como Android.Fakebank.B e aparece mascarado como uma app oficial da Google Play. Uma vez instalado no dispositivo, usa o nome de “Google App Store” e tem o mesmo ícone, como uma app legitima da Google Play.
O malware apareceu inicialmente em utilizadores sul-coreanos que visitavam as suas contas bancárias usando o netbanco.
“Actualmente, o APK malicioso procura por determinadas aplicações coreanas de acesso ao banco online, nesses dispositivo infectados, quando as encontra solicita ao utilizador que as apague e instale uma versão das mesmas mas com malware” disse Liu. Como por norma estas aplicações necessitam de uma SMS enviada da instituição, o malware tem a capacidade de interceptar as SMS recebidas nesse dispositivo Android e envia as mesmas para um servidor remoto.
Com a app de netbanco comprometida e com a SMS roubada (que contém autorizações de transacções) é uma prova inequívoca do móbil deste malware: o ataque ao banco e roubar os utilizadores.
Poderá pensar que actualmente só foi descoberto na Coreia do Sul e que está apenas naquela área e para aqueles sistemas, contudo o método está criado, são pequenas alterações para cada país e poderá já hoje estar replicado e com sucesso em qualquer país.
Liu deixa um aviso aos utilizadores: “desliguem sempre a funcionalidade USB debugging do vosso Android quando não necessitarem dela e tenham cuidado quando ligam o dispositivo em computadores que não devem confiar… todos que não são o vosso!”