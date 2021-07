Há uma constante luta para limpar as lojas de aplicações dos esquemas de malware que atacam os utilizadores. Desta vez os investigadores descobriram 9 aplicações que utilizavam um ardil para roubar as palavras-passe do Facebook aos utilizadores do Android. O pior é que não são aplicações de nicho, isto é, juntas têm mais de 5,8 milhões de downloads, o que torna já considerável o número elevado de utilizadores com os seus smartphones “comprometidos”.

A Google já as removeu depois dos investigadores da empresa de segurança terem descoberto o modus operandi dos criminosos.

Engenharia social para roubar passwords do Facebook

O esquema era simples do ponto de vista da conquista da confiança do utilizador. Segundo a empresa de segurança por trás da descoberta, as aplicações forneceram serviços totalmente funcionais de edição e enquadramento de fotografias, exercício e treino, horóscopos, e remoção de ficheiros de lixo dos dispositivos Android.

Todas as aplicações identificadas ofereciam aos utilizadores uma opção para desativar os anúncios na app através do login nas suas contas do Facebook. Os utilizadores que escolheram a opção viram um formulário de login genuíno do Facebook contendo campos para introduzir nomes de utilizador e palavras-passe.

Tão simples o passo para ter uma app funcional, gratuita e sem publicidade? Caíram milhões neste ardil simples, mas eficaz.

Estes trojans usaram um mecanismo especial para enganar as suas vítimas. Depois de receberem as configurações necessárias de um dos servidores C&C aquando do lançamento, carregaram a página web legítima do Facebook https://www.facebook.com/login.php no WebView. Em seguida, carregaram o JavaScript recebido do servidor C&C no mesmo WebView. Este script foi utilizado diretamente para sequestrar as credenciais de login introduzidas. Depois disso, este JavaScript, utilizando os métodos fornecidos através da anotação JavascriptInterface, passou o login e palavra-passe roubados para as aplicações trojan, que depois transferiram os dados para o servidor C&C dos atacantes. Após a vítima ter entrado na sua conta, os trojans também roubaram os cookies da sessão de autorização em curso. Estes cookies foram também enviados aos cibercriminosos.

Explicaram os investigadores da empresa Dr. Web.

Mecanismo poderia ser usado para roubar passwords de qualquer serviço

Segundo a análise feita pelos especialistas, todas estas aplicações com malware receberam instruções para roubar logins e palavras-passe de contas do Facebook. Contudo, os atacantes podiam facilmente ter alterado as definições dos trojans e ordenado que carregassem a página web de outro serviço legítimo.

Aliás, com este mecanismo poderiam até ter utilizado um formulário de login completamente falso, localizado num site de phishing. Assim, os trojans poderiam ter sido utilizados para roubar logins e palavras-passe de qualquer serviço.

Os investigadores identificaram cinco variantes de malware escondidas dentro das aplicações. Três delas eram aplicações Android nativas, e as duas restantes utilizavam a Flutter framework da Google, que foi concebida para compatibilidade entre plataformas.

A empresa de segurança referiu que classifica todas como o mesmo trojan porque utilizam formatos de ficheiro de configuração idênticos e código JavaScript idêntico para roubar dados do utilizador.

As variantes identificadas pela empresa são:

Mais de 5,8 milhões de downloads de apps com malware para Android

A maioria dos downloads foram para uma aplicação chamada PIP Photo. Esta foi descarregada mais de 5,8 milhões de vezes. A aplicação com o maior alcance seguinte foi Processing Photo, com mais de 500.000 descarregamentos.

As restantes aplicações foram:

Uma pesquisa no Google Play mostra que todas as aplicações foram removidas da loja. Um porta-voz da Google disse que a empresa também proibiu os criadores de todas as nove aplicações da loja, o que significa que não lhes será permitido submeter novas aplicações.

A Google não teria outra forma de lidar, mesmo sendo uma ação branda, porque não será isto que os fará parar. Facilmente podem inscrever-se numa nova conta, com um nome diferente, pagar os 25 dólares e voltar a tentar enganar a Google e os utilizadores Android. Fácil, certo?

Atenção se as descarregou no seu smartphone

Qualquer pessoa que tenha descarregado uma das aplicações acima referidas deve examinar minuciosamente o seu dispositivo e as suas contas no Facebook para detetar quaisquer sinais de ataque.

Se eventualmente tem uma destas apps instalada ainda no seu Android, remova e troque de imediato a palavra-passe do seu Facebook.