Um conjunto de droppers de malware para Android foi encontrado se infiltrando na Google Play Store. Esse droppers estavam sendo usado para instalar trojans bancários fingindo ser atualizações de aplicativos.
Os droppers de malware
Os droppers de malware são uma categoria desafiadora de aplicativos para serem interrompidos porque eles não contêm código malicioso e, portanto, podem passar mais facilmente nas avaliações do Google Play quando enviados à loja.
Esse droppers não levantam suspeitas entre os usuários, pois fornecem a funcionalidade anunciada, e o comportamento malicioso é conduzido nos bastidores.
A descobertas dos droppers na Play Store do Google
Pesquisadores da Threat Fabric, que descobriram o novo conjunto de droppers, relatam um aumento no uso de droppers para distribuição de malware Android precisamente porque eles podem oferecer um caminho furtivo para infectar dispositivos. Isso é particularmente importante considerando as restrições e proteções cada vez maiores introduzidas com cada versão principal do Android, impedindo que malwares abusem de permissões, busquem módulos maliciosos de recursos externos ou usem o serviço de acessibilidade para realizar ações ilimitadas no dispositivo.
A primeira campanha de dropper detectada pelo Threat Fabric no início de outubro de 2022 empurra o trojan bancário conhecido como SharkBot.
O SharkBot é um malware para Android que pode roubar credenciais por meio de prompts de login falsos sobrepostos em formulários de login de sites legítimos, realizar keylogging, roubar e ocultar mensagens SMS e assumir o controle remoto de um dispositivo móvel.
Os pesquisadores descobriram dois aplicativos conta-gotas de aparência inofensiva, “Codice Fiscale 2022” e “File Manager Small, Lite”, usados para instalar o SharkBot nos dispositivos móveis das vítimas. O primeiro aplicativo, “Codice Fiscale 2022”, está disfarçado de ferramenta para calcular pagamentos de impostos na Itália e foi baixado 10.000 vezes.
Quando um usuário instala o aplicativo dropper malicioso, ele eventualmente solicitará que instale uma atualização falsa, que instala o malware SharkBot em seu dispositivo. Para instalar pacotes Android adicionais de um servidor remoto, o Google exige que os aplicativos solicitem os ‘REQUEST_INSTALL_PACKAGES’. No entanto, as versões mais recentes do Android alertam sobre os perigos dessa permissão, dificultando convencer os usuários a instalar a “atualização”.
Em vez disso, o conta-gotas abre uma página da Web feita para parecer o Google Play, enganando o usuário a tocar no botão “Atualizar” do navegador e, assim, ignorando a necessidade dessa permissão.
A versão do SharkBot lançada visa bancos italianos usando sobreposições de login falsas, interceptação de SMS para códigos 2FA, keylogging e um ladrão de cookies.
de terceiros.
