Cuidado com a promessa de aplicações gratuitas para edição de fotos para o seu dispositivo Android! De acordo com os especialistas da Kaspersky, foram descobertas várias apps com o malware MobOk que lhe pode roubar dinheiro. É uma ameaça bem real, escondida na loja Google Play Store.
Veja o modus operandi desta ameaça de malware e proteja-se desta nova ameaça!
Em causa está o malware apelidado de MbOk, escondido em várias apps de edição de fotografia, disponíveis na Google Play Store. Mais concretamente, nas aplicações “Pink Camera” e “Pink Camera 2”. Ao propósito, ambas as apps já haviam sido instaladas mais de 10 mil vezes (entre si) em dispositivos móveis Android.
MobOk, o malware escondido nas apps de edição de fotos
Estas apps para Android foram concebidas para furtar as suas informações pessoais, sem que numa primeira fase as vítimas se apercebessem. Em seguida, o malware utilizava esses mesmos dados para efetuar subscrições de serviços pagos. Desse modo, o utilizador só se apercebia quando chegava a faturação no fim do mês.
Ambas as aplicações já foram, entretanto, removidas da Google Play Store, mas já há mais casos de apps similares. Ao que tudo indica, esta estirpe de malware está a esconder-se sobretudo em soluções para edição de fotos em dispositivos Android. Mais uma vez, com o intuito de aderir a planos e diversos serviços pagos.
The MobOk malware is hiding inside popular photo editors on the Google Play store. https://t.co/h4bKbOM8Eu
— Kaspersky (@kaspersky) June 24, 2019
Ainda de acordo com o relatório da Kaspersky, o MobOk é um típico backdoor, sendo também um dos tipos de malware mais perigoso. Isto é, através desta “porta” o hacker pode ter acesso quase total ao dispositivo em questão. Ora, ainda que a Google Play Store filtre as várias apps listadas, continuam escapar algumas ameaças.
Os filtros da Google Play Store não são 100% eficazes
Apesar de ano após ano esta barreira proteção se tornar mais eficaz, nunca teremos um cenário perfeito. Assim, vemos novas empreitadas e investidas por parte de mentes mal intencionadas para fintar os algoritmos de inteligência artificial e deteção de ameaças da Google. Este é, para todos os efeitos, o mais recente caso.
Na prática, temos apps semifuncionais, que prometem cumprir um determinado propósito. Isto é, são aplicações aparentemente fidedignas, perfeitamente comparáveis às demais soluções. Ora, é precisamente esse o objetivo dos hackers, despistar os filtros da Google Play Store através desta “máscara” de legitimidade.
More #MobOk fake photo apps on @GooglePlay: https://t.co/v0PjPqikxa com.blur.master.x e66fa586d281b736fbb184a9ef411f55a0f7c5feb2ce4aa7dfa75b5e4f523bbe – with the same recent C&C ps.okyesmobi[.]com:8802/sub/v2/ofn – please remove it. TMW Installs: 1+. @kaspersky #Android #Malware pic.twitter.com/Mb8r6wq9Hq
— smtnk (@s_metanka) June 24, 2019
Infelizmente, esta já não é a primeira instância em que um caso destes assola a loja oficial do Android. Aliás, desde que o relatório da Kaspersky foi publicado têm surgido apps similares com a mesma ameaça. São versões funcionais, ou quase funcionais de apps legítimas, fruto de código copiado e com a adição do malware.
A mais recente ameaça escondida em apps para Android
Foi assim, disfarçando-se de apps legítimas, que estas impostoras chegaram à Google Play Store. A partir daí, bastou esperar pelo utilizador incauto para chegar aos dispositivos Android. Portanto, após a instalação o utilizador queria naturalmente tirar proveito destas apps, neste caso para edição de fotos e imagens.
Assim, logo que a app fosse aberta, o malware MobOk entrava em ação. O seu modus operandi consistia na recolha de toda a informação do dispositivo associado. Isto é, desde o número de telefone que era posteriormente utilizado na próxima fase do ataque. Antes disso, o terminal era infetado.
https://twitter.com/morodog/status/1143000320299036672
Com a “porta aberta”, os hackers enviavam uma lista de páginas web com serviços pagos de subscrição. Mais uma vez, o utilizador não fazia ideia do que se passava, com o malware a abrir automaticamente essas páginas e ligações. Note-se, ao propósito, que esta atividade se realizava em background, sem dar nas vistas.
Subscrição, a partir do terminal Android, de serviços premium
O objetivo desta atividade era fazer com que o utilizador pagasse pela subscrição de serviços móveis. Por norma, este processo parece-se com páginas web que oferecem um serviço em troca de um pagamento diário que depois é cobrado na conta do smartphone.
Com efeito, este modelo de pagamento foi originalmente desenvolvido por uma rede de operadores móveis para facilitar os utilizadores a subscreverem os seus serviços premium. No entanto, atualmente é muitas vezes utilizado como forma de ciberataque, pelo que começou a ser visto com desconfiança.
Ao propósito, referimos ainda que o malware era capaz de aceder ao código de confirmação enviado por SMS no exato momento em que esta chegava. Desse modo, conseguia manter o engodo, continuando o utilizador sem suspeitar de nada. Tal só acontecia no final do mês, na hora da faturação.
Por fim, a Kaspersky identificou o malware como HEUR:Trojan.AndroidOS.MobOk.a.