A Trend Micro descobriu um spyware – software espião de computador, que tem o objetivo de observar e roubar informações pessoais do usuário (detectado como ANDROIDOS_MOBSTSPY) – que se disfarçava como aplicativos legítimos do Android. As aplicações estavam disponíveis para download na Google Play em 2018, com algumas já tendo sido baixadas mais de 100 mil vezes por usuários de todo o mundo.
Parte do que torna esse caso interessante é o quão amplamente seus aplicativos foram distribuídos. Por meio do monitoramento de back-end e pesquisa profunda da Trend Micro constata-se a distribuição por diferentes países e que os usuários afetados provinham de um total de 196 países diferentes. Os brasileiros foram os sextos mais afetados em todo o mundo:
Uma das aplicações inicialmente investigada foi o jogo chamado Flappy Birr Dog. Outras aplicações incluíam o FlashLight, o HZPermis Pro Arabe, o Win7imulator, o Win7Launcher e o Flappy Bird. O Google já removeu todos esses aplicativos da Google Play.
Roubo de informações
“MobSTSPY” é capaz de roubar informações como localização do usuário, conversas por SMS, registros de chamadas e itens da área de transferência. Assim que o aplicativo malicioso for iniciado, o malware primeiro verificará a disponibilidade da rede do dispositivo. Em seguida, lê e analisa um arquivo de configuração XML de seu servidor C & C.
O malware irá então coletar certas informações do dispositivo, como o idioma utilizado, o país registrado, o nome do pacote, o fabricante do dispositivo etc. Dependendo do comando recebido pelo malware, ele pode roubar conversas por SMS, listas de contatos, arquivos e registros de chamadas. O malware é capaz, inclusive, de roubar e fazer o upload de arquivos encontrados no dispositivo.
Felippe Batista, especialista de segurança da informação para cloud na Trend Micro, alerta para que os usuários sejam cautelosos ao fazer downloads, por mais que o app esteja dentro das lojas oficiais do sistema operacional.
“A popularidade dos aplicativos serve como um incentivo para que os cibercriminosos continuem desenvolvendo softwares maliciosos para roubar informações ou realizar outros tipos de ataques. Além disso, os usuários podem instalar uma solução abrangente de segurança cibernética para defender seus dispositivos móveis contra malware móvel”.
Capacidades de phishing
Além de seus recursos de roubo de informações, o malware também pode coletar credenciais adicionais por meio de um ataque de phishing. É capaz de exibir falsos pop-ups do Facebook e do Google para phishing dos detalhes da conta do usuário. Se o usuário inserir suas credenciais, o pop-up falso informará apenas que o login não foi bem-sucedido. Nesse ponto, o malware já teria roubado as credenciais do usuário.
Este caso demonstra que, apesar da prevalência e utilidade dos aplicativos, os usuários devem permanecer cautelosos ao baixá-los para seus dispositivos.