Trojan Android desabilita o Google Play Protect e cria avaliações de apps

Conheça um Trojan Android desabilita o Google Play Protect e cria avaliações de aplicativos falsos!

Igor Golovin, pesquisador da Kaspersky Lab descobriu que um Trojan Android desabilita o Google Play Protect e cria avaliações de aplicativos falsos. Conheça essa ameaça.

Uma cepa de malware para Android camuflada como um aplicativo do sistema está sendo usada por agentes de ameaças para desativar o serviço Google Play Protect, gerar avaliações falsas, instalar aplicativos maliciosos, exibir anúncios e muito mais.

Trojan Android desabilita o Google Play Protect e cria avaliações de apps
Trojan Android desabilita o Google Play Protect e cria avaliações de apps

O malware fortemente ofuscado chamado Trojan-Dropper.AndroidOS.Shopper.a usa um ícone do sistema e o nome do ConfigAPKs que se assemelha ao nome de um serviço Android legítimo responsável pela configuração do aplicativo na primeira vez que um dispositivo é inicializado.

Segundo Igor Golovin, pesquisador da Kaspersky Lab:

“O Trojan-Dropper.AndroidOS.Shopper.a foi o mais difundido na Rússia, onde a maior parte dos usuários infectados (28,46%) foi registrada em outubro – novembro de 2019, O segundo lugar foi para o Brasil (18,70%) e o terceiro para a Índia (14,23%).”

Depois de infectar o dispositivo Android da vítima, o malware baixa e descriptografa a carga útil (payload), e depois vai direto para a coleta de informações, coletando informações do dispositivo como país, tipo de rede, fornecedor, modelo de smartphone, endereço de email, IMEI e IMSI.
 
Todos esses dados são então filtrados para os servidores das operadoras, que enviarão de volta uma série de comandos para serem executados no smartphone ou tablet infectado.

Os invasores utilizarão o Trojan Shopper.a para aumentar as classificações de outros aplicativos maliciosos na Play Store, publicar avaliações falsas nas entradas de qualquer aplicativo, instalar outros aplicativos da Play Store ou de lojas de aplicativos de terceiros sob a capa de uma janela “invisível”.

Tudo isso é feito abusando do Serviço de Acessibilidade, uma tática conhecida usada pelo malware Android para executar uma ampla gama de atividades maliciosas sem a necessidade de interação do usuário [1, 2, 3, 4].

Se não tiver permissões para acessar o serviço, o Trojan usará phishing para obtê-los do proprietário do dispositivo comprometido.

O malware também desabilita o serviço de proteção móvel contra ameaças do Google Play Protect, a proteção contra malware Android integrada do Google, para que ele possa realizar seus negócios sem perturbações.

E de acordo com o relatório do ano de revisão do Android Security & Privacy 2018 publicado em março de 2019:

“O Google Play Protect verifica mais de 50 bilhões de aplicativos todos os dias em mais de dois bilhões de dispositivos”

Igor Golovin, pesquisador da Kaspersky Lab, explicou que:

“A falta de direitos de instalação de fontes de terceiros não é obstáculo para o Trojan – ele oferece as permissões necessárias por meio do Serviço de Acessibilidade.”

“Com permissão para usá-lo, o malware tem possibilidades quase ilimitadas de interagir com a interface do sistema e os aplicativos. Por exemplo, ele pode interceptar dados exibidos na tela, clicar em botões e emular gestos do usuário”.

Dependendo dos comandos que recebe de seus mestres, o Shopper.a pode executar uma ou mais das seguintes tarefas:

  • Abrir links recebidos do remoto em uma janela invisível (na qual o malware verifica se o usuário está conectado a uma rede móvel).
  • Após um certo número de desbloqueio da tela, oculte-se no menu de aplicativos.
  • Verifique a disponibilidade dos direitos do Serviço de Acessibilidade e, se não for concedido, emita periodicamente uma solicitação de phishing ao usuário para fornecê-los.
  • Desative o Google Play Protect.
  • Crie atalhos para sites anunciados no menu de aplicativos.
  • Faça o download de aplicativos do Apkpure [.] Com de “mercado’ de terceiros e instale-os.
  • Abra os aplicativos anunciados no Google Play e “clique” para instalá-los.
  • Substitua os atalhos para aplicativos instalados por atalhos para sites anunciados.
  • Publique críticas falsas supostamente do usuário do Google Play.
  • Exibir anúncios quando a tela estiver desbloqueada.
  • Registrar usuários através de suas contas do Google ou Facebook em vários aplicativos.

E Golovin acrescentou:

“Os cibercriminosos usam o Trojan-Dropper.AndroidOS.Shopper.a para aumentar a classificação de certos aplicativos e aumentar o número de instalações e registros.”

“Tudo isso pode ser usado, entre outras coisas, para enganar os anunciantes. Além disso, o Trojan pode exibir mensagens de publicidade no dispositivo infectado, criar atalhos para sites de anúncios e executar outras ações”.


Em notícias relacionadas, o Google divulgou que o Play Protect detectou e removeu cerca de 1.700 aplicativos infectados com o malware Joker Android (também conhecido como Bread) da Play Store desde que a empresa começou a rastrear essa variedade no início de 2017.

Para colocar as coisas em perspectiva, enquanto a revisão anual do Android Security & Privacy 2018 não forneceu o número exato de aplicativos maliciosos removidos, a de 2017 afirma que a empresa “retirou mais de 700.000 aplicativos que violavam as políticas do Google Play, 70% mais do que os aplicativos retirados em 2016 “.

O que está sendo falado no blog

Veja mais artigos publicados neste dia…

Ajude a manter o Blog do Edivaldo - Faça uma doação

Se você gosta do conteúdo do Blog, você pode ajudar a manter o site simplesmente fazendo uma doação única, esporádica ou mensal, usando uma das opções abaixo:

Doação usando Paypal

Doação usando PagSeguro
Outras formas de ajudar a manter o Blog do Edivaldo