A Google retirou oito aplicações do seu Google Play Store que estavam divulgando uma nova variante de spyware Joker, embora elas já tivessem conseguido mais de três milhões de downloads.
Maxime Ingrao, um pesquisador de segurança da Evina, uma empresa de segurança cibernética, descobriu recentemente um malware chamado Autolycos. O programa malicioso pode assinar usuários a serviços premium sem o seu conhecimento ou consentimento para adquirir taxas de pagamento. Essa forma de malware, conhecida como veloware ou malware de fraude de portagem, também pode acessar as mensagens SMS dos usuários. Ingrao compartilhou a informação no Twitter na semana passada.
Participe de um Evento por Demanda Gratuito: Junte-se ao Zane Bond da Keeper Security em uma sessão de discussão da Threatpost e descubra como acessar suas máquinas de qualquer lugar e compartilhar arquivos confidenciais do seu escritório em casa. Inscreva-se aqui.
Ingrão afirmou que descobriu oito programas no portal que, desde junho de 2021, estavam espalhando o Autolycos e tinham acumulado um grande número de downloads. Os indivíduos por trás do Autolycos estão usando as páginas do Facebook e veiculando anúncios no Facebook e Instagram para divulgar o vírus, disse ele.
Por exemplo, Ingrao tweetou em sucessão de mensagens que detalham como o malware Razer Keyboard & Theme funciona, havendo 74 campanhas publicitárias para o mesmo.
Joker embarca novamente.
Ingrão associou o malware ao Joker, uma ameaça detectada em 2019 que de modo oculto inscrevia as pessoas em serviços pagos e se esgueirava para roubar mensagens SMS, além de realizar outras ações malignas.
De acordo com inspeções adicionais, os especialistas do Malwarebytes suspeitam que o vírus seja uma nova forma do Joker, que eles se referem como “Android/Trojan.Spy.Joker”. O pesquisador de inteligência Pieter Arntz publicou um artigo um dia depois da descoberta de Ingrao.
De acordo com Malwarebytes, Joker foi o primeiro malware de família de chapéu especializado em vírus. Ele se camuflava nas estruturas de anúncios que eram usadas pelos programas maliciosos que o distribuíam; essas estruturas reuniam e apresentavam anúncios no aplicativo.
Após a instalação dos programas com o Joker, eles exibiam uma tela “splash”, contendo o logotipo do aplicativo, a fim de desviar as vítimas enquanto executavam diversos códigos maliciosos em segundo plano, como roubos de mensagens e listas de contatos, bem como realizar golpes em anúncios e inscrever as pessoas em serviços pagos sem o seu consentimento.
Variação de realização
Ingrao destacou que ao contrário do Joker original, Autolycos não conta com um navegador webview. Em vez disso, ele só suporta solicitações HTTP.
Ingrao de Autolycos twittou para recuperar um JSON (Nota de Objeto de Script da Java) no endereço C2: 68.183.219.190/pER/y. Logo depois, é necessário executar as URLs, e alguns passos devem ser realizados em um navegador remoto para incluir os resultados nas solicitações.
Artnz da Malwarebytes explicou a diferença entre Joker e Autolycos em seu post. Ao contrário do Joker que usa webviews para executar sua má intenção, Autolycos evita isso executando URLs em um navegador remoto e inserindo o resultado nas solicitações HTTP.
A Autolycos consegue escapar de detecção de maneira mais astuta que o Joker original, comentou Artnz, da Malwarebytes. “Não necessitando um WebView, diminui muito as chances de que o dono do aparelho afetado note algo estranho”, escreveu.
Demora na identificação e remoção de programas maliciosos
Ingrão notou Autolycos presente em oito programas diferentes.
- Editor de vídeo Star Vlog (com.vlog.star.video.editor) – 1 milhão de downloads
- Creative 3D Launcher (app.launcher.creative3d) conta com um milhão de downloads.
- As pessoas estão adorando a Wow Beauty Camera (com.wowbeauty.camera), com mais de 100.000 downloads.
- A teclado de Gif Emoji (com.gif.emoji.keyboard) já foi baixado por 100.000 pessoas.
- O aplicativo “Freeglow Camera” possui 1.0.0 de versão e tem mais de 5.000 baixamentos.
- O aplicativo “Câmera Coco” com a versão 1.1 (localizado no endereço com.toomore.cool.camera) conta com 1.000 downloads.
- KellyTech’s Câmara Engraçada teve 500.000 downloads.
- O teclado Razer e o tema criado por rxcheldiolola têm mais de 50.000 downloads.
Ingrao descobriu os aplicativos maliciosos em julho de 2021 e notificou imediatamente o Google. No entanto, ao que parece, levaram seis meses para a retirada de seis desses programas, conforme relatado pela BleepingComputer. De acordo com Malwarebytes, o Google somente finalizou a remoção dos últimos dois aplicativos no dia 13 de julho.
Artnz criticou o retardo entre a identificação e a eliminação, sem tecer especulações sobre a fonte disso. Ele afirmou que “a presença discreta e o uso da API da Google Play Store tornam difícil encontrar aplicativos maliciosos entre a grande quantidade de programas disponíveis”.
Artnz comentou que se o pesquisador não tivesse revelado ao público a existência dos aplicativos mal-intencionados, eles ainda estariam disponíveis, pois ele estava cansado de aguardar.
O Google não retornou imediatamente ao requerimento na segunda-feira. Evidenciando seu passado de luta para sustentar programas maliciosos – particularmente, a loja de aplicativos móveis para a plataforma Android.
Participe de um evento gratuito e sob demanda: junte-se a Zane Bond, da Keeper Security, em um seminário da Threatpost e descubra como acessar seus computadores de qualquer lugar e compartilhar arquivos confidenciais do seu escritório a partir da sua casa. Inscreva-se aqui.
Editar e compartilhar este artigo.
- Malware é um programa mal intencionado que pode ser usado para obter dados confidenciais.
- A segurança em dispositivos móveis está se tornando uma questão cada vez mais significativa para as empresas.
