16.9 C
Cerro Grande do Sul
sábado, novembro 23, 2024

Aplicativos na Play Store do Android instalaram ladrão de senhas bancárias, alerta empresa

Especialistas da empresa de segurança Check Point descobriram aplicativos publicados na Play Store que tinham capacidade para instalar o ladrão de senhas bancárias “AlienBot” nos celulares com Android.

Segundo os especialistas, foram identificadas mais de 100 “payloads” (cargas maliciosas) diferentes ligadas a esse software. Além de roubar senhas bancárias, ele permite o controle remoto do smartphone.

O AlienBot funciona em um modelo de “malware como serviço”, no qual o criador do ladrão de senhas condiciona o uso da ferramenta a um pagamento ou comissão. Outros criminosos precisam encontrar um meio de chegar aos dispositivos das vítimas e operacionalizar a fraude bancária.

Por isso, o foco da análise da Check Point foi o código de instalação do AlienBot usado nos apps, designado como “Clast82”. Considerado inédito, foi graças a esse código que os apps conseguiram aprovação na Play Store.

Das dez versões dos aplicativos identificados com o Clast82, sete estavam “ativadas”. As outras três ainda estavam em estado ocioso, em que nenhum app adicional é instalado no celular.

De acordo com os especialistas da Check Point, esse estado “ocioso” foi usado pelos criadores dos códigos para impedir que a filtragem realizada pela Play Store identificasse o comportamento indevido. Quando está “desativado”, o app é inofensivo.

O componente malicioso da programação só passava para o estado ativo após a publicação do app na Play Store. Essa mudança de estado ocorria por meio de um comando baixado de um servidor de controle acessado pelo app.

Nesse momento, o app baixava o instalador do AlienBot, o app pedia autorização do usuário para instalar o “Google Play Services” – um nome falso para o componente malicioso do ladrão de senhas bancárias.

O pedido se repetia a cada cinco segundos, tornando o uso do celular praticamente inviável.

Em celulares com versões mais antigas do Android e que foram configurados para permitir a instalação de apps de fontes desconhecidas, a instalação poderia ocorrer automaticamente. Por essa razão, não é recomendado manter essa opção ativa.

Apps já foram removidos da Play Store

A descoberta dos apps ocorreu no fim de janeiro e o Google foi comunicado pela Check Point no dia 28 daquele mês. No dia 9 de fevereiro, o Google informou à empresa que os apps já não estavam mais na loja.

O relatório do caso só foi publicado pela Check Point na terça-feira (9), um mês depois após o Google garantir que os apps com o Clast82 foram removidos da Play Store.

A maioria dos apps se disfarçava de serviços de VPN, com nomes como “Cake VPN”, “Pacific VPN” e “eVPN”. Alguns também se passavam por reprodutores de música, como o “BeatPlayer” e o “MusicPlayer”.

Caso você tenha instalado qualquer app malicioso removido da Play Store, o Play Protect, que funciona como um antivírus embutido no Android, deverá detectar o software e removê-lo.

 

Por Altieres Rohr

RELACIONADAS