Mais de 60.000 aplicativos Android disfarçados de aplicativos legítimos instalaram adware silenciosamente em dispositivos móveis. Infelizmente, todos eles permanecendo sem serem detectados nos últimos seis meses.
Quem realizou a descoberta foi a empresa romena de segurança cibernética Bitdefender, que detectou os aplicativos maliciosos usando um recurso de detecção de anomalias adicionado ao seu software Bitdefender Mobile Security no mês passado. De acordo com a empresa, até o momento, foram descobertos 60.000 amostras completamente diferentes (aplicativos exclusivos) carregando o adware e suspeitamos que haja muito mais por aí.
Mais de 60.000 aplicativos Android instalaram adware secretamente
Acredita-se que a campanha tenha começado em outubro de 2022 e está sendo distribuída como software de segurança falso, cracks de jogos, cheats, software VPN, Netflix e aplicativos utilitários em sites de terceiros.
A campanha de malware visa predominantemente usuários nos Estados Unidos, seguidos pela Coreia do Sul, Brasil, Alemanha, Reino Unido e França.
Instalado furtivamente para evitar a detecção
Os aplicativos maliciosos não são hospedados no Google Play, mas em sites de terceiros na Pesquisa Google que enviam APKs, pacotes do Android que permitem a instalação manual de aplicativos móveis.
Ao visitar os sites, você será redirecionado para sites que exibem anúncios ou solicitado a baixar o aplicativo procurado. Os sites de download são criados propositalmente para distribuir os aplicativos Android maliciosos como um APK que, quando instalado, infecta os dispositivos Android com adware.
Quando o aplicativo é instalado, ele não se configura para ser executado automaticamente, pois isso requer privilégios adicionais. Em vez disso, ele conta com o fluxo normal de instalação do aplicativo Android, que solicita aos usuários que ‘Abram’ um aplicativo após a instalação. Além disso, os aplicativos não utilizam um ícone e possuem um caractere UTF-8 no rótulo do aplicativo, tornando-o mais difícil de detectar. Esta é uma faca de dois gumes, pois também significa que, se um usuário não iniciar o aplicativo após a instalação, provavelmente não será iniciado depois.
Se iniciado, o aplicativo exibirá uma mensagem de erro informando que o “Aplicativo não está disponível em sua região. Toque em OK para desinstalar”. No entanto, na realidade, o aplicativo não é desinstalado, mas simplesmente dorme por duas horas antes de registrar duas ‘intenções’ que fazem com que o aplicativo seja iniciado quando o dispositivo é inicializado ou quando o dispositivo é desbloqueado. A Bitdefender diz que a última intenção está desativada nos primeiros dois dias, provavelmente para evitar a detecção pelo usuário.
Quando iniciado, o aplicativo alcança os servidores dos invasores e recupera URLs de anúncios para serem exibidos no navegador móvel ou como um anúncio WebView em tela cheia. Embora os aplicativos maliciosos sejam usados apenas para exibir anúncios, os pesquisadores alertam que os agentes de ameaças podem facilmente trocar os URLs de adware por sites mais maliciosos.
Os dispositivos Android são altamente visados por desenvolvedores de malware, pois podem instalar aplicativos fora da Google Play Store, onde não são melhor inspecionados quanto a malware. No entanto, os agentes de ameaças continuam evitando a detecção, mesmo no Google Play, permitindo uma ampla distribuição de aplicativos maliciosos.
Embora o Google Play ainda tenha sua parcela de aplicativos maliciosos, instalar seus aplicativos Android da loja oficial do Android é muito mais seguro. Também é altamente recomendável não instalar nenhum aplicativo Android de sites de terceiros, pois eles são um vetor comum de malware.