Malware se disfarça de apps de mensagens ou notícias na Play Store

Imagem do Android na cor vermelha

Pesquisadores de segurança descobriram doze aplicativos com malware, se disfarçando de mensagens ou notícias para Android. Todos os aplicativos executavam um código trojan de acesso remoto (RAT) conhecido como VajraSpy. Descobriu-se que seis deles estavam disponíveis na Google Play Store, enquanto os outros seis foram descobertos com o VirusTotal.

Malware em aplicativos Android na Play Store

Todos os aplicativos descobertos pelos pesquisadores, compartilham várias semelhanças, como plataforma de mensagens agrupada com código RAT VajraSpy e certificado de desenvolvedor. A data de carregamento destas candidaturas foi entre abril de 2021 e março de 2023. Entre estas candidaturas, apenas uma foi considerada uma aplicação nova que se diferenciava das restantes.

Descobriu-se que o aplicativo mais antigo era Privee Talk, carregado em 1º de abril de 2021, e o aplicativo mais recente foi Wave Chat, lançado em setembro de 2023. Todos esses aplicativos combinadas tiveram quase 1.400 instalações. A lista de aplicativos maliciosos é a seguinte: Rafaqat; Privee talk; MeetMe; Let’s Chat; Quick Chat; Chit Chat; TikTalk; Hello Chat; YohooTalk; Nidus; GlowChat; WaveChat; Click App; Crazy Talk.

malware-se-disfarca-de-apps-de-mensagens-ou-noticias-na-play-store
Imagem: Reprodução | GBHackers

De acordo com os relatórios compartilhados com o Cyber Security News, o VajraSpy é um trojan personalizável que pode ser usado para exfiltrar dados de usuários que usam os mesmos nomes de classe em todos os aplicativos maliciosos. Além disso, todos os aplicativos observados compartilhavam as mesmas classes de trabalho para exfiltração de dados. No entanto, os aplicativos trojanizados podem ser divididos em três grupos como

  1. Aplicativos de mensagens trojanizados com funcionalidades básicas;
  2. Aplicativos de mensagens trojanizados com funcionalidades avançadas;
  3. Aplicativos que não são de mensagens.

Aplicativos De Mensagens Trojanizados

Este grupo consiste em aplicativos com malware que estavam disponíveis no Google Play, como MeetMe, Privee Talk, Let’s Chat, Quick Chat, GlowChat e Chit Chat. Também inclui o Hello Chat, que não estava disponível no Google Play.

Este grupo de aplicativos possui uma funcionalidade padrão de mensagens e requer inicialmente a criação de uma conta. Além disso, a verificação do número de celular também é realizada usando códigos SMS OTP. No entanto, esta é uma etapa irrelevante, pois o VajraSpy já está em execução, independentemente do sucesso desta etapa.

Aplicativos que não são de Mensagens

Conforme mencionado anteriormente, apenas o aplicativo Rafaqat pertence a este grupo, que é o único aplicativo que não é de bate-papo. Embora este aplicativo solicite um número de telefone, nenhuma verificação é realizada. 

Este aplicativo também foi capaz de interceptar notificações e exfiltrar contatos e arquivos com extensões específicas, como .pdf, .doc, .docx, .txt, .ppt, .pptx, .xls, .xlsx, .jpg, .jpeg, .png, .mp3, .Om4a, .aac e .opus.

Acesse a versão completa
Sair da versão mobile