Apps de mensagem de voz falsos são usados como armadilha na Google Play

Com funções automatizadas suspeitas, como pop-ups de pesquisas falsas e links de propaganda claramente fraudulentos, o app adquire informações do usuário

São Paulo, dezembro de 2018 – A Trend Micro alerta para a ameaça de diversos apps no Google Play que se vendem como plataformas verdadeiras de mensagem de voz, com funções automatizadas suspeitas, como pop-ups de pesquisas falsas e links de propaganda claramente fraudulentos. A Trend já observa variantes destes apps e malwares suspeitos sendo publicadas desde outubro, já com versões mais evoluídas que incluem técnicas de evasão e com padrão de infecção dividido por estágios.

“Os números das infecções ainda não são preocupantes, mas o aumento no número de programas publicados e de downloads por parte dos usuários torna importante um olhar cuidadoso sobre esta questão, dado seu acelerado desenvolvimento e distribuição no ecossistema mobile”, explica Felippe Batista, Especialista de Segurança da Informação para Cloud da Trend Micro Brasil.

Enquanto a maioria dos apps falsos já foi retirada, a Trend Micro utilizou um deles como exemplo do comportamento típico deste tipo de programa. Embora os publicadores dos apps sejam diferentes, os pesquisadores da Trend suspeitam que os programas vieram de um mesmo autor, dado que as amostras analisadas por eles apresentaram codificação e comportamento similar.

Figura 1. Um dos apps tentando se passar por verdadeiro no Google Play

Figura 2. App de voz malicioso com milhares de downloads

Comportamento

Publicado no Google Play, o app (detectado pela Trend Micro como sendo AndroidOS_FraudBot.OPS ) tenta ser sutil na operação, usando downloaders leves e modulares para comprometer os aparelhos do usuário sem que ele perceba. Uma vez baixados, o primeiro componente se conecta com o servidor de C&C, descriptografa e executa o conteúdo baixado.

O conteúdo roda da seguinte forma: O módulo chamado “Icon” esconde o ícone do app para evitar que o usuário o desinstale, enquanto o modulo “Wpp” pode abrir o navegador para acessar URLs sem o consentimento do usuário e gerar anúncios fraudulentos a partir de touch events aleatórios.

O app também apresenta formulários falsos de pesquisas para coletar dados pessoais (os PII) dos usuários, como nomes números de telefone e endereços, com o pretexto de oferecer gift cards para eles. A pesquisa falsa é carregada pelo navegador padrão. Se ele não puder ser identificado, ela será carregada por qualquer um deles, como Chrome, Firefox, Opera, Opera Mini e diversos outros.

Figura 3. Apps falsos para coleta de informações pessoais

Embora os pesquisadores não tenham detectado comunicação com o servidor, eles acreditam que este é um recurso ainda em desenvolvimento.

Protegendo-se contra esta ameaça

O Google confirmou a remoção dos apps de voz maliciosos de sua loja. Entretanto, podemos esperar mais destas ameaças com ainda mais recursos, sobretudo com capacidade de evasão de defesas. Malwares como estes demonstram como os cibercriminosos     podem se utilizar das características destas ameaças digitais para atacar aparelhos móveis por meios dos apps. Os aparelhos sempre devem contar com segurança móvel robusta e ampla, capaz de proteger o equipamento contra os malwares mobile.

 

Sobre a Trend Micro

A Trend Micro Incorporated, líder global em soluções de segurança cibernética, ajuda a proteger o mundo virtual para o intercâmbio de informações digitais. Nossas soluções inovadoras para consumidores, empresas e órgãos governamentais oferecem segurança em camadas para data centers, ambientes de nuvem, redes e endpoints. Todos os nossos produtos operam juntos para compartilhar informações de ameaças e oferecer recursos de segurança com visibilidade e controle centralizados, gerando uma proteção cada vez mais forte e ágil. Com mais de 6 mil funcionários em mais de 50 países e a inteligência global contra ameaças mais avançada do mundo, a Trend Micro protege o seu mundo conectado. Para saber mais, acesse www.trendmicro.com.

RMA Comunicação

Cecília Ferrarezzi
(cecilia.ferrarezzi@rmacomunicacao.com.br)
(11) 2244-5967

Alisson Costa
(alisson.costa@agenciarma.com.br)
(11) 2244-5918

Thais Amaral
(thais.amaral@agenciarma.com.br)
(11) 2244-5953