Milhares de usuários do Android baixaram um malware que se disfarça antivírus do Google Play para roubo de senhas. Ao todo, segundo relatos da Check Point, seis aplicativos antivírus falsos foram removidos da loja de aplicativos Google Play. Assim, em vez de proteger os usuários de criminosos cibernéticos, eles estavam sendo usados para distribuir malware para roubar senhas, dados bancários e outras informações pessoais de usuários do Android.
Os aplicativos de malware foram detalhados por pesquisadores de segurança cibernética da Check Point. Segundo os especialistas, esses arquivos foram baixados do espaço oficial de aplicativos do Google por mais de 15.000 usuários que buscavam proteger seus dispositivos, que foram infectados com o malware Sharkbot Android.
O Sharkbot foi projetado para roubar nomes de usuário e senhas, o que faz com que as vítimas insiram suas credenciais em janelas sobrepostas que enviam as informações de volta aos invasores, que podem usá-las para obter acesso a e-mails, mídias sociais, contas bancárias online e muito mais.
Os seis aplicativos maliciosos encontrados pelos pesquisadores tinham como objetivo atrair usuários do Android em busca de aplicativos antivírus, mais limpos e de segurança.
Milhares de usuários do Android são vítimas de malware capaz de roubar senhas disfarçado de antivírus do Google Play
É possível que as vítimas tenham recebido links de phishing que as direcionassem para as páginas de download dos aplicativos infestados de Sharkbot. Os aplicativos foram capazes de ignorar as proteções da Google Play Store porque o comportamento malicioso nos aplicativos não foi ativado até depois de serem baixados por um usuário e o aplicativo ter se comunicado de volta aos servidores executados pelos invasores.
Achamos que eles foram capazes de fazer isso porque todas as ações maliciosas foram acionadas a partir do servidor C&C, para que o aplicativo pudesse permanecer no estado “OFF” durante um período de teste no Google Play e ligar “ON” quando chegar ao dispositivos dos usuários, disse Alexander Chailytko, gerente de segurança cibernética, pesquisa e inovação da Check Point Software.
De acordo com a análise do malware, o Sharkbot não infectará todos que fizerem o download – ele usa um recurso de geofencing para identificar e ignorar usuários da China, Índia, Romênia, Rússia, Ucrânia ou Bielorrússia. Enquanto isso, a maioria das vítimas que baixaram o Sharkbot parecem estar no Reino Unido e na Itália.
Relatos ao Google
Depois de identificar os aplicativos, a Check Point divulgou as descobertas ao Google, que removeu os seis aplicativos da Google Play Store. Embora os aplicativos infectados pelo Sharbot tenham sido removidos do mercado oficial do Google, eles permanecem ativamente disponíveis em sites de terceiros, para que os usuários ainda possam ser induzidos a baixá-los.
Qualquer pessoa que suspeite ter baixado um aplicativo malicioso deve desinstalá-lo imediatamente, baixar um programa antivírus legítimo para verificar seu dispositivo e alterar as senhas de contas que possam ter sido roubadas. Se houver alguma incerteza sobre o que baixar ou se um aplicativo é legítimo, analisar as avaliações dos usuários pode ajudar a fornecer uma imagem mais clara, como se o aplicativo não fosse legítimo, as avaliações geralmente dizem isso.
Via ZDNet
