O aplicativo Calculadora de Moneda no Google Play estava ocultando o Trojan malicioso Cerberus
O Google recebeu muitas críticas por deixar muitos malwares no Google Play, e você poderia dizer que há uma boa razão para isso. Comparado à Apple, o Google adotou uma política muito mais liberal quando se trata de permitir que aplicativos sejam publicados na Play Store, e a frequência com que o malware passa pelas falhas mostra que as verificações não são rigorosas o suficiente. Dito isto, às vezes, os hackers estão especialmente determinados a manter em segredo suas intenções maliciosas. Ontem, por exemplo, pesquisadores da Avast nos contaram sobre os truques inteligentes que os cibercriminosos usaram para esconder um ataque recente aos usuários espanhóis.
Índice
Hackers publicaram um conversor de moedas no Google Play
A operação começou em março, quando os operadores do Trojan bancário Cerberus publicaram um aplicativo na loja oficial do Android. O aplicativo chamava-se "Calculadora de Moneda" (espanhol para "Calculadora de Moeda") e os hackers não tiveram absolutamente nenhum problema em executá-lo após as verificações de segurança do Google.
Isso porque não havia nada de malicioso nisso. A versão inicial da Calculadora de Moneda era completamente benigna e até funcionava como um conversor de moedas. O objetivo era ganhar a confiança dos usuários e conquistá-la, conseguiu. Segundo a Avast, há alguns dias, o aplicativo de conversão de moedas tinha cerca de 10 mil downloads.
A linha do tempo não está perfeitamente clara, mas em algum momento entre março e julho, o estágio malicioso da operação começou. Os hackers lançaram uma atualização que continha algumas linhas de código que mais tarde baixariam e instalariam o Cerberus. Eles não estavam com pressa de acioná-lo, no entanto. O código permaneceu inativo e foi ativado apenas alguns dias atrás.
Os bandidos implantaram o Trojan bancário Cerberus há alguns dias
O código malicioso entrou em contato com o servidor de Comando e Controle (C&C) dos criminosos e baixou um arquivo APK que, se executado, instalaria o Trojan bancário Cerberus.
Cerberus é uma ameaça formidável. Pode ter existido apenas por um ano ou mais, mas já fez seu nome e vários ataques nos últimos meses sugerem que seus operadores têm um interesse particular em usuários de língua espanhola.
O relatório da Avast não diz qual aplicativo bancário ele visa, mas explica que ele rouba senhas desenhando uma sobreposição nos formulários de login dos aplicativos e exfiltrando as credenciais inseridas. O cavalo de Troia também tem a capacidade de ler mensagens de texto e roubar códigos de autenticação de aplicativos como o Google Authenticator, o que significa que é capaz de ignorar a autenticação de dois fatores.
É difícil dizer quantas pessoas foram atingidas, mas como você pode ver, todas elas foram colocadas em sério risco. É bom que o ataque tenha terminado agora.
A implantação parou... por enquanto
O aplicativo Calculadora de Moneda começou a baixar o Cerberus em algum momento no dia 6 de julho, mas, poucas horas depois, a distribuição parou. O C&C e a carga útil do malware se tornaram inativos, e o aplicativo de conversão de moeda continuou funcionando normalmente.
Pode haver algumas razões para a decisão dos bandidos de interromper a campanha. Eles podem estar esperando que o ataque menor os ajude a evitar a detecção. Como alternativa, seus planos podem ter mudado depois que os pesquisadores da Avast interceptaram a campanha. Também não devemos descartar a possibilidade sombria de que este é um teste que precede um ataque maior.
Seja qual for o caso, os usuários devem estar cientes do risco e precisam saber o que fazer para se manterem seguros. Felizmente, nesse caso em particular, o design do Android pode ajudá-los.
Arquivos APK de fontes de terceiros podem ser perigosos
Os pesquisadores da Avast transmitiram suas descobertas ao Google e, embora você possa encontrar um aplicativo chamado "Calculadora de Moneda" no Google Play, o aplicativo malicioso agora deve ser removido. No entanto, deve-se dizer que, nesse caso em particular, o malware não foi realmente carregado na Play Store. Nesse ataque, o conversor de moeda atuou como conta-gotas e baixou a carga do APK do C&C dos hackers.
Dependendo da versão, o Android exibirá vários avisos e solicitará permissões antes de permitir que um arquivo APK seja executado no dispositivo. As versões anteriores do sistema operacional móvel do Google não permitem instalar um arquivo APK, a menos que você altere algumas das configurações padrão.
Isso ocorre porque, embora o malware apareça na Play Store de vez em quando, na maioria das vezes, as ameaças do Android são distribuídas por arquivos APK hospedados em sites de terceiros. Os desenvolvedores do Android sabem qual é o risco de executar esses arquivos e estão tentando avisá-lo sobre isso. Tudo que você precisa fazer é ouvir.
