É a eterna metáfora do gato e do rato. Assim que uma ameaça de malware é colmatada, surge outra ainda mais sagaz. Agora, há uma nova e engenhosa forma de infeção do seu Android com malware presente na Google Play Store.
Antes de mais nada, sendo a maior loja de aplicações e conteúdos para dispositivos móveis, a Google Play Store torna-se num alvo irresistível para os meliantes.
Assim sendo, é raro o mês em que não seja detetada uma nova ameaça para a segurança dos nossos dispositivos móveis e dos nossos dados. Agora, de acordo com as informações avançadas pela TrendMicro, há uma nova e engenhosa forma de ativação do malware.
A premissa subjacente ao novo malware para Android
As mentes criminosas chegaram a uma admirável conclusão. O utilizador final de um smartphone ou tablet Android, quando o utiliza, vai ativar os vários sensores de movimento. Seja a bússola ou o giroscópio do dispositivo móvel bem como vários outros sensores.
Quando o smartphone está a ser utilizado, os sensores de movimento também estão em ação. Por conseguinte, emitem um output, uma saída ou fluxo de dados.
Estes “dados” serão o despertador para o malware que possa já estar no seu smartphone Android. Neste caso, detetado o movimento do smartphone Android, o malware irá despertar e começar a sua maliciosa empreitada.
A Pièce de résistance
As mentes criminosas foram mais além. Se a primeira premissa por si só já é brilhante, tal facto torna-se ainda mais evidente quando tivermos em consideração o seguinte.
Passo a explicar. A Google Play Store tem vários filtros anti-malware. Ademais, existem várias formas para os peritos de segurança fazerem um rastreio ao conteúdo presente nessa mesma Google Play Store.
Ora, os meliantes descobriram que o tipo de software (emuladores) utilizado pelos colaboradores da Google dificilmente utilizariam ou teriam em consideração as informações dos sensores de movimento.
Em suma, a maioria dos filtros de segurança, não tinha em consideração esse input de dados. Para os hackers isto era uma janela aberta, um ponto de partida à espera de ser aproveitado.
Assim sendo, o malware só entrava em ação quando detetasse algum input dos sensores de movimento. Uma forma extremamente inteligente de evitar a sua deteção.
O malware em questão
Chama-se Anubis, numa homenagem simbólica ao deus egípcio dos mortos e moribundos. Aliás, esta ameaça já é bem conhecida e catalogada pelos peritos de segurança da Trend Micro.
O objetivo último? Assim que estivesse presente no seu Android, assim que tivesse sido ativado quando o malware detetasse o funcionamento dos sensores de movimento, aí sim entraria em ação.
A forma de atuação em dispositivos Android
Em seguida iria pedir um comando e uma ação ao centro de controlo / servidor remoto. Para tal utilizaria canais de comunicação com o exterior como, por exemplo, o Twitter bem como o Telegram.
Obtendo uma resposta do servidor remoto após requisitar ordens (HTTP POST), o malware receberia uma ordem para descarregar um ficheiro de instalação do Android. Isto é, receberia um link para fazer download de um ficheiro APK.
Em seguida, para contornar as medidas de segurança do Android e para enganar o utilizador, lançaria mão de outra artimanha. Mais concretamente, fazia-se passar por uma atualização do sistema operativo Android. Veja-se a imagem:
Se o utilizador concordasse. Se desse a sua permissão para instalar esta falsa atualização então o Trojan tinha cumprido a sua missão. Em seguida entraria em ação a parte (ainda) mais nefasta do malware.
Aquilo que o utilizador tinha acabado de instalar era, na verdade, um Keylogger. Uma aplicação que registaria todas as suas credenciais inseridas em apps (aplicações) de banco e pagamentos.
Em suma, o Anubis ficaria a saber os seus dados e palavras-passe inseridas em aplicações e páginas web sensíveis. Tudo o que envolvesse pagamentos, finanças e transações.
Escusado será dizer o que poderia acontecer em seguida…
O malware foi detetado em 2 apps da Google Play Store
Importa saber como é que este malware podia passar da Google Play Store até ao seu Android. Infelizmente estava alojado em duas apps extremamente populares nesta loja de conteúdos.
Em primeiro lugar, na app BatterySaverMobi. Uma aplicação para supostamente poupar bateria no seus dispositivos Android, um tipo de apps que NUNCA deve ter no seu dispositivo.
Ainda de acordo com a mesma fonte, esta app já tinha mais de 5.000 instalações através da Google Play Store. Entretanto, já foi removida da loja de apps e conteúdos para dispositivos Android.
Em segundo lugar tínhamos a app Currency Converter, um aparentemente simples e inócuo conversor de moedas. Infelizmente, também ele estava infetado com o supracitado malware na Google Play Store.
Aliás, também já fora instalado inúmeras vezes a partir da Google Play Store. Tudo isto sem que o utilizador se apercebesse da carga secreta que também estava a descarregar para o seu dispositivo móvel.
Ambas as aplicações já foram removidas da Google Play Store. Todavia, será que não existem outras apps igualmente infetadas? Para já não podemos responder a essa questão.
O malware existe e continuará a existir, não só no “mundo” Android
Podemos tirar daqui duas ilações. A primeira sendo que os meliantes estão a ficar cada vez mais criativos e astutos na criação de novas ferramentas que sirvam os seus propósitos.
Em segundo lugar, e mais do que nunca, começa a ser aconselhável não instalar apps cujas fontes não conheça. Contudo, ainda assim continuará a existir sempre um potencial de risco, mas nem tudo está perdido.
A deteção destas ameaças também começa a ser mais eficaz e expedita. Entretanto, poderá também seguir o nosso guia para precaver a instalação de apps falsas através da Google Play Store.