Especialistas da empresa de segurança Check Point descobriram aplicativos publicados na Play Store que tinham capacidade para instalar o ladrão de senhas bancárias “AlienBot” nos celulares com Android.
Segundo os especialistas, foram identificadas mais de 100 “payloads” (cargas maliciosas) diferentes ligadas a esse software. Além de roubar senhas bancárias, ele permite o controle remoto do smartphone.
O AlienBot funciona em um modelo de “malware como serviço”, no qual o criador do ladrão de senhas condiciona o uso da ferramenta a um pagamento ou comissão. Outros criminosos precisam encontrar um meio de chegar aos dispositivos das vítimas e operacionalizar a fraude bancária.
Por isso, o foco da análise da Check Point foi o código de instalação do AlienBot usado nos apps, designado como “Clast82”. Considerado inédito, foi graças a esse código que os apps conseguiram aprovação na Play Store.
Das dez versões dos aplicativos identificados com o Clast82, sete estavam “ativadas”. As outras três ainda estavam em estado ocioso, em que nenhum app adicional é instalado no celular.
De acordo com os especialistas da Check Point, esse estado “ocioso” foi usado pelos criadores dos códigos para impedir que a filtragem realizada pela Play Store identificasse o comportamento indevido. Quando está “desativado”, o app é inofensivo.
O componente malicioso da programação só passava para o estado ativo após a publicação do app na Play Store. Essa mudança de estado ocorria por meio de um comando baixado de um servidor de controle acessado pelo app.
Nesse momento, o app baixava o instalador do AlienBot, o app pedia autorização do usuário para instalar o “Google Play Services” – um nome falso para o componente malicioso do ladrão de senhas bancárias.
O pedido se repetia a cada cinco segundos, tornando o uso do celular praticamente inviável.
Em celulares com versões mais antigas do Android e que foram configurados para permitir a instalação de apps de fontes desconhecidas, a instalação poderia ocorrer automaticamente. Por essa razão, não é recomendado manter essa opção ativa.
Apps já foram removidos da Play Store
A descoberta dos apps ocorreu no fim de janeiro e o Google foi comunicado pela Check Point no dia 28 daquele mês. No dia 9 de fevereiro, o Google informou à empresa que os apps já não estavam mais na loja.
O relatório do caso só foi publicado pela Check Point na terça-feira (9), um mês depois após o Google garantir que os apps com o Clast82 foram removidos da Play Store.
A maioria dos apps se disfarçava de serviços de VPN, com nomes como “Cake VPN”, “Pacific VPN” e “eVPN”. Alguns também se passavam por reprodutores de música, como o “BeatPlayer” e o “MusicPlayer”.
Caso você tenha instalado qualquer app malicioso removido da Play Store, o Play Protect, que funciona como um antivírus embutido no Android, deverá detectar o software e removê-lo.
Por Altieres Rohr