Quatro campanhas separadas de malware, como alvo os usuários de Android, foram descobertas no Google Play Store nos últimos dias. O malware, descoberto por empresas de segurança diferentes, McAfee, Malwarebytes, Dr. Web e ESET, estavam disfarçados de legítimo jogo Google apps e conseguiu obter milhões de downloads. Esta não é a primeira vez que o malware foi encontrado no Google jogar, mas quatro campanhas de malware separado em poucos dias é um pouco alarmante.
Grabos malware encontrado em 144 Google Play apps
Como detalhes da McAfee em um report, Grabos malware foi descoberto em 144 apps na Google Play Store. A equipe de pesquisa Mobile descoberto pela primeira vez o malware em Aristotle Music player de áudio 2017, um aplicativo de player de áudio gratuito. Desde então, 144 apps Google peça foi encontrado para conter o malware Grabos.
McAfee, observa que Aristóteles tinham uma boa classificação e milhões de downloads, que é o suficiente para muitos usuários de confiar em um aplicativo. Além disso, o 34 apps que a equipe de pesquisa foi capaz de investigar também tem boa audiência, em média 4,4 e abundância de downloads. Mais especificamente, entre 4.2 e 17,4 milhões.
De acordo com a McAfee, a razão pela qual os apps foram capazes de contornar a Google peça medidas de segurança é porque o código do malware é protegido com um ofuscador comercial, que propositadamente torna difícil examinar um app sem abri-lo primeiro.
O malware tem como objetivo a enganar os usuários para baixar e instalar apps, mostrando notificações falsas. Então é seguro dizer que ele está tentando fazer um lucro, promovendo as instalações da app.
AsiaHitGroup malware torna difícil identificá-lo
Pesquisador de segurança Malwarebytes recentemente discovered que o malware tem sido posando como legítimos apps Google peça. O malware, chamado AsiaHitGroup, foi descoberto em um aplicativo de scanner QR com o nome “Gerador de código Qr – scanner de Qr”, mas também mais tarde foi encontrado em um aplicativo de despertador, uma bússola app, um aplicativo de editor de fotos, um aplicativo de teste de velocidade de Internet e um app Gerenciador de arquivo.
Quando os usuários baixar o app, ele funcionará como deveria pela primeira vez. No entanto, depois que o usuário existe, desaparece. Os usuários não será capazes de encontrá-lo em qualquer lugar pelo nome, o que torna difícil se livrar. As notas de pesquisador que o app então se disfarça como Gerenciador de Download. Se os usuários não familiarizados com o apps que eles instalaram, encontrar o malware manualmente é basicamente impossível.
O malware irá verificar sua localização logo na entrada. Se você estiver localizado na Ásia, daí o nome AsiaHitGroup, ele irá baixar um Trojan de SMS, que iria se inscrever para números de telefone premium através de SMS.
Trojan encontrado em 9 apps com downloads entre 2.37 e 11,7 milhões
Software empresa Dr. Web discovered um cavalo de Troia em 9 apps Google peça. A ameaça, chamada Trojan Android.RemoteCode.106.origin pela empresa, iria abrir sites sem o usuário saber e ajudar a fazer a receita de anúncios para os proprietários desses sites. Relatório do Dr. Web também observa que o cavalo de Troia pode ser usado para executar ataques de phishing e roubar informações confidenciais.
O 9 apps que foram descobertos para conter o código malicioso variaram de jogos a aplicativos de backup. De acordo com o Dr. Web, o cavalo de Troia foi encontrado nos seguintes apps:
- Padaria doce jogo 3 – Swap e conectar 3 bolos 3.0;
- Curiosidades da Bíblia, versão 1.8;
- Curiosidades da Bíblia – FREE, versão 2.4;
- Rápido, mais limpo luz, versão 1.0;
- Ganhar dinheiro 1.9;
- Jogo de banda: Piano, Guitar, tambor, versão 1,47;
- Desenhos animados a Racoon jogo 3 – quebra-cabeça do roubo Gem 2017, versão 1.0.2;
- Fácil Backup & Restore, versão 4.9.15;
- Aprenda a cantar, versão 1.2.
Uma vez que os usuários downloads do app, Android.RemoteCode.106.origin irá verificar se o dispositivo atende aos requisitos. Se o dispositivo infectado não tem um número específico de fotos, contatos ou telefonemas, o cavalo de Troia não vai fazer nada. Se, no entanto, as condições forem atendidas, o Trojan vai baixar uma lista de módulos, lançar módulos maliciosos adicionais para inflar as estatísticas de tráfego do site e siga os links de publicidade.
Desde que o Dr. Web divulgou o relatório, o código malicioso foi retirado alguns dos apps, enquanto outros continuam a ser maliciosos.
ESET detecta malware multi-estágio
Uma nova forma de vários estágio malware foi descoberta em 8 apps Google peça pelo ESET de empresa de segurança. O malware, detectado como Android/TrojanDropper.Agent.BKY pela ESET, basicamente é um banco de Troia.
Os aplicativos foram descobertos muito rapidamente, assim, só foram capazes de obter um par de centenas de downloads. O malware estava posando como Android apps de limpeza ou notícias. Eles foram removidos desde do Google Play Store.
Uma vez que os usuários baixar os apps, eles que não notam nada de estranho como os aplicativos se comportam como eles são esperados pelos usuários e não pedir qualquer estranhos permissões. O malware também emprega a arquitetura de vários estágio e criptografia passar despercebidos.
Quando ele é baixado, ele irá executar sua carga de primeiro estágio, que vai lançar uma carga de segundo estágio. A carga do segundo estágio então baixa um app, o terceiro estágio de carga. Isso está acontecendo em segundo plano, assim os usuários não tem conhecimento.
Como explica ESET, os usuários é então pediu para instalar um aplicativo baixado, o que pode ser disfarçado como algum tipo de software aparentemente legítimo. O aplicativo malicioso então gostaria de pedir aos usuários para conceder permissões diferentes, e se o usuário faz, o app executaria a carga final, que é basicamente um bancário Trojan.
O Trojan bancário irá então mostrar-lhe telas de login falsa para obter suas credenciais ou detalhes de cartão de crédito.