Especialistas da empresa de segurança Check Point descobriram aplicativos publicados na Play Store que tinham capacidade para instalar o ladrão de senhas bancárias “AlienBot” nos celulares com Android.

Segundo os especialistas, foram identificadas mais de 100 “payloads” (cargas maliciosas) diferentes ligadas a esse software. Além de roubar senhas bancárias, ele permite o controle remoto do smartphone.

O AlienBot funciona em um modelo de “malware como serviço”, no qual o criador do ladrão de senhas condiciona o uso da ferramenta a um pagamento ou comissão. Outros criminosos precisam encontrar um meio de chegar aos dispositivos das vítimas e operacionalizar a fraude bancária.

Por isso, o foco da análise da Check Point foi o código de instalação do AlienBot usado nos apps, designado como “Clast82”. Considerado inédito, foi graças a esse código que os apps conseguiram aprovação na Play Store.

Das dez versões dos aplicativos identificados com o Clast82, sete estavam “ativadas”. As outras três ainda estavam em estado ocioso, em que nenhum app adicional é instalado no celular.

De acordo com os especialistas da Check Point, esse estado “ocioso” foi usado pelos criadores dos códigos para impedir que a filtragem realizada pela Play Store identificasse o comportamento indevido. Quando está “desativado”, o app é inofensivo.

O componente malicioso da programação só passava para o estado ativo após a publicação do app na Play Store. Essa mudança de estado ocorria por meio de um comando baixado de um servidor de controle acessado pelo app.

Nesse momento, o app baixava o instalador do AlienBot, o app pedia autorização do usuário para instalar o “Google Play Services” – um nome falso para o componente malicioso do ladrão de senhas bancárias.

O pedido se repetia a cada cinco segundos, tornando o uso do celular praticamente inviável.

Em celulares com versões mais antigas do Android e que foram configurados para permitir a instalação de apps de fontes desconhecidas, a instalação poderia ocorrer automaticamente. Por essa razão, não é recomendado manter essa opção ativa.

Apps já foram removidos da Play Store

A descoberta dos apps ocorreu no fim de janeiro e o Google foi comunicado pela Check Point no dia 28 daquele mês. No dia 9 de fevereiro, o Google informou à empresa que os apps já não estavam mais na loja.

O relatório do caso só foi publicado pela Check Point na terça-feira (9), um mês depois após o Google garantir que os apps com o Clast82 foram removidos da Play Store.

A maioria dos apps se disfarçava de serviços de VPN, com nomes como “Cake VPN”, “Pacific VPN” e “eVPN”. Alguns também se passavam por reprodutores de música, como o “BeatPlayer” e o “MusicPlayer”.

Caso você tenha instalado qualquer app malicioso removido da Play Store, o Play Protect, que funciona como um antivírus embutido no Android, deverá detectar o software e removê-lo.

 

Por Altieres Rohr