Do not speak Portuguese? Translate this site with Google or Bing Translator

Malware Android que rouba senhas infectou mais de 100.000 usuários

Um malware Android que rouba senhas infectou mais de 100.000 usuários, ainda está disponível na Google Play, mesmo depois de descoberto.

Um aplicativo Android malicioso que rouba credenciais do Facebook foi instalado mais de 100.000 vezes na Google Play Store, com o aplicativo ainda disponível para download.

Malware Android que rouba senhas infectou mais de 100.000 usuários

Malware Android que rouba senhas infectou mais de 100.000 usuários
Malware Android que rouba senhas infectou mais de 100.000 usuários

O malware para Android está disfarçado como um aplicativo de desenho animado chamado ‘Craftsart Cartoon Photo Tools’, permitindo que os usuários carreguem uma imagem e a convertam em uma renderização de desenho animado.

Na semana passada, pesquisadores de segurança e a empresa de segurança móvel Pradeo descobriram que o aplicativo Android inclui um trojan chamado ‘FaceStealer‘, que exibe uma tela de login do Facebook que exige que os usuários façam login antes de usar o aplicativo.

Malware Android que rouba senhas infectou mais de 100.000 usuários
Malware Android que rouba senhas infectou mais de 100.000 usuários – App solicitando que o usuário faça login no Facebook (Pradeo)

De acordo com o pesquisador de segurança do Jamf, Michal Rajčan, quando os usuários inserem suas credenciais, o aplicativo os envia para um servidor de comando e controle em zutuu[.]info [VirusTotal], que os invasores podem coletar.

Além do servidor C2, o aplicativo malicioso para Android se conectará ao www.dozenorms[.]club URL [VirusTotal] para onde mais dados são enviados e que foi usado no passado para promover outros aplicativos maliciosos do FaceStealer para Android.

Malware Android que rouba senhas infectou mais de 100.000 usuários
Malware Android que rouba senhas infectou mais de 100.000 usuários – Enviando dados para o servidor dodonorms[.]club (Fonte: BleepingComputer)

Como o Pradeo explica em seu relatório, o autor e o distribuidor desses aplicativos parecem ter automatizado o processo de reempacotamento e injetar um pequeno código malicioso em um aplicativo legítimo.

Isso ajuda os aplicativos a passar pelo procedimento de verificação da Play Store sem levantar bandeiras vermelhas. Assim que o usuário o abre, ele não recebe nenhuma funcionalidade real, a menos que faça login em sua conta do Facebook.

No entanto, uma vez logado, o aplicativo fornecerá funcionalidade limitada ao enviar uma imagem especificada para o editor online, http://color.photofuneditor.com/, que aplicará um filtro gráfico à imagem.

Essa nova imagem será então exibida no aplicativo, onde poderá ser baixada pelo usuário ou enviada aos amigos.

Como muitos aplicativos exigem desnecessariamente que os usuários façam login em um servidor, em muitos casos o Facebook, os usuários ficaram insensíveis a esses prompts de login e, mais comumente, inserem suas credenciais sem suspeita.

Por mais populares e divertidos que esses aplicativos de cartunistas possam ser, as pessoas devem ser extremamente cautelosas ao instalar softwares que exigem que eles insiram informações confidenciais, como dados biométricos (imagens de seus rostos).

Esses aplicativos realizam as alterações de imagem e aplicam filtros em um servidor remoto, não localmente no dispositivo, de modo que seus dados são carregados para um local remoto e correm o risco de serem mantidos indefinidamente, compartilhados com outras pessoas, revendidos etc.

Como o aplicativo específico ainda está na Play Store, pode-se presumir automaticamente que o aplicativo Android é confiável.

Mas, infelizmente, aplicativos Android maliciosos às vezes se infiltram na Google Play Store e permanecem até serem detectados por críticas ruins ou descobertos por empresas de segurança.

No entanto, é possível identificar aplicativos fraudulentos e maliciosos em muitos casos, observando suas avaliações no Google Play.

Como você pode ver abaixo, os comentários dos usuários para ‘Craftsart Cartoon Photo Tools’ são extremamente negativos, totalizando uma pontuação de apenas 1,7 estrelas de cinco possíveis.

Malware Android que rouba senhas infectou mais de 100.000 usuários
Malware Android que rouba senhas infectou mais de 100.000 usuários – Comentários de usuários na Play Store

Além disso, muitas dessas análises alertam que o aplicativo tem funcionalidade limitada e exige que você faça login no Facebook primeiro.

Em segundo lugar, o nome do desenvolvedor é ‘Google Commerce Ltd’, o que indica que é desenvolvido pelo Google. Além disso, os detalhes de contato listados incluem o endereço de e-mail do Gmail de uma pessoa aleatória, que é uma grande bandeira vermelha.

Detalhes do aplicativo na Play Store
Malware Android que rouba senhas infectou mais de 100.000 usuários – Detalhes do aplicativo na Play Store

Visitamos a página do desenvolvedor, hospedada no Blogspot, para ler a política de privacidade do projeto, e encontramos um endereço de e-mail diferente, então há até uma incompatibilidade.
 A cláusula de segurança da política de privacidade do aplicativo
Malware Android que rouba senhas infectou mais de 100.000 usuários – A cláusula de segurança da política de privacidade do aplicativo

Por fim, tentamos enviar um e-mail ao autor para um comentário sobre as alegações feitas pelo Pradeo, mas um dos endereços nem existe.
O endereço de e-mail listado não existe
Malware Android que rouba senhas infectou mais de 100.000 usuários – O endereço de e-mail listado não existe

Isso pode parecer um escrutínio excessivo para cada aplicativo que você instala em seu smartphone, mas deve ser o procedimento de verificação padrão para aplicativos inerentemente arriscados.

O Pradeo informou o Google sobre a natureza do aplicativo Craftsart Cartoon Photo Tools, e o Bleeping Computer também enviou uma mensagem para a equipe da Play Store, então o Google deve removê-lo em breve.

No entanto, aqueles que têm o aplicativo instalado em seus dispositivos devem removê-lo imediatamente, redefinir suas contas do Facebook e habilitar a autenticação de dois fatores para proteção adicional.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.