Alerta da Kaspersky – App malicioso publica avaliações falsas no Google Play

Publicado em Servidor

Brasil, México e Argentina estão entre os países com mais usuários afetados. Aproveitadores se utilizam de serviços projetados para ajudar pessoas com deficiência. Mas nas mãos dos criminosos, essa função representa uma séria ameaça ao proprietário do dispositivo

Os pesquisadores da Kaspersky detectaram um app trojan que mostra propaganda não solicitada e ativa a instalação de aplicativos de lojas online, enganando usuários e anunciantes. Ele também visita lojas de download de aplicativos e publica opiniões falsas em nome do usuário, estes testemunhos ficam ocultos para o proprietário do dispositivo.

Este trojan foi apelidado de “Shopper” e chamou a atenção da Kaspersky devido ao escopo de suas atividades de ofuscação e pelo uso dos serviços de acessibilidade do Google. Estes serviços, projetados para ajudar pessoas com deficiência, transmitem o conteúdo dos aplicativos em formato de áudio e automatizam a interação com a interface do usuário. Mas nas mãos dos criminosos, essa função representa uma séria ameaça ao proprietário do dispositivo.

Depois de ter permissão para usar o serviço, o malware consegue interagir com a interface e os aplicativos do sistema de forma quase ilimitada, como capturar dados na tela do dispositivo, pressionar teclas e até imitar gestos do usuário. Embora ainda não se saiba como o app malicioso se espalha, os pesquisadores da Kaspersky acreditam que ele pode ser baixado a partir de anúncios fraudulentos ou lojas de aplicativos de terceiros – enquanto tentam ser aprovados como um app legítimo.

O programa é mascarado como um aplicativo do sistema e usa um ícone chamado “ConfigAPKs” para se esconder do usuário. Depois de desbloquear a tela, o aplicativo começa a coletar informações sobre o dispositivo da vítima e as envia para os servidores do invasor. Este, por sua vez, retorna com os comandos para o aplicativo ser executado. Dependendo dos comandos, o aplicativo pode:

• Usar a conta do Google ou Facebook da vítima para se inscrever nos aplicativos de compras e entretenimento mais populares, como AliExpress, Lazada, Zalora, Shein, Joom, Likee e Alibaba.

• Avaliar apps da Google Play em nome do proprietário do dispositivo.

• Revisar os direitos de uso dos serviços de acessibilidade. Se a permissão não for concedida, o criminoso enviará uma solicitação por meio de uma mensagem de phishing.

• Desativar o Google Play Protect, função que executa uma verificação de segurança dos aplicativos da Google Play Store antes de baixá-los.

• Abrir links recebidos do servidor remoto em uma janela invisível e ocultar-se no menu do aplicativo após desbloquear várias telas.

• Exibir anúncios desbloqueando a tela do dispositivo e criando etiquetas para os anúncios no menu de aplicativos.

• Baixar aplicações da loja Apkpure.com e instalá-las.

• Abrir e instalar aplicações de publicidade da Google Play.

• Substituir os tags de aplicativos instalados pelas tags das páginas anunciadas.

Mais afetados

De outubro a novembro de 2019, a maior parte dos usuários infectados pelo Trojan-Dropper.AndroidOS.Shopper.a estão na Rússia (28,46% do total) e em seguida vem o Brasil, com 18,70% das infecções em âmbito global, e a Índia com 14,23%. Dos países latino-americanos, o México e a Argentina ocupam o quinto e o décimo segundo lugar no mundo, respectivamente.

Mapa das vítimas do Trojan-Dropper.AndroidOS.Shopper.a

“Embora, até o momento, o perigo deste app seja limitado a anúncios não solicitados, críticas falsas e classificações emitidas em nome da vítima, ninguém pode garantir que seus criadores não se concentrem em algo mais no futuro. Por enquanto, seu foco está nas lojas, mas seus recursos permitem que os invasores espalhem informações falsas pelas contas de mídia social das vítimas e em outras plataformas. Por exemplo, ele pode compartilhar automaticamente vídeos não-desejados nas páginas pessoais das vítimas ou simplesmente disseminar informações não confiáveis”, explica Igor Golovin, analista de malware da Kaspersky.

Todos os produtos da Kaspersky detectam e bloqueiam o malware Shopper sob o nome: Trojan-Dropper.AndroidOS.Shopper.

Para evitar ser infectado por malware como esse, a Kaspersky aconselha os internautas:

• Cuidado com apps que exijam o uso de serviços de acessibilidade que sejam criados para esta função.

• Verifique sempre as permissões para ver o que os aplicativos instalados podem fazer.

• Não instale apps de fontes não confiáveis, mesmo que sejam anunciados ativamente, e bloqueie a instalação de programas de fontes desconhecidas no menu de configurações do smartphone.

• Use uma solução de segurança em seu dispositivo, como a Kaspersky Internet Security para Android, para te ajudar a identificar solicitações potencialmente perigosas ou questionáveis feitas pelos aplicativos. Ela pode ainda explicar os riscos associados aos tipos mais comuns de permissões.

Mais informações sobre o malware Shopper, acesse Securelist.

Sobre a Kaspersky

A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 270.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais em http://www.kaspersky.com.br.