Apps falsas de edição de fotografia do Google Play escondem backdoor MobOk

João Fernandes Por
Jul. 02, 2019
Apps falsas de edição de fotografia do Google Play escondem backdoor MobOk
Notícias

Os especialistas da Kaspersky descobriram um malware – MobOk – que rouba dinheiro e que se esconde em aplicações de edição de fotografia legítimas disponíveis na Google Play store. No momento de deteção verificou-se que as aplicações “Pink Camera” e “Pink Camera 2” já tinham sido instaladas cerca de 10.000 vezes. As aplicações foram desenhadas para roubar informações pessoais das vítimas e utilizadas para a subscrição de serviços pagos. As vítimas, por sua vez, só davam conta de que estavam a ser enganadas quando viam estes valores nas contas dos seus telemóveis. As aplicações já foram removidas da Google Play e já não estão disponíveis.

O malware MobOk é um backdoor e é um dos tipos de malware mais perigoso, já que oferece ao hacker a possibilidade de um controlo quase total do dispositivo infetado. Apesar de os conteúdos da Google Play serem filtrados, esta não é a primeira vez que os dispositivos dos utilizadores são alvo de ameaças. Em alguns casos, os backdoors estão escondidos através de aplicações semi funcionais que, à primeira vista, parecem ser versões mais pobres de aplicações legítimas. Foi por esse motivo que aplicações como a Pink Camera não levantaram suspeitas, já que incluíam funcionalidades de edição de fotografia genuínas e o seu download estava a ser feito diretamente de uma Google Play store de confiança.

Contudo, assim que os utilizadores começavam a editar fotografias através das aplicações Pink Camera, estas pediam acesso às notificações e era a partir daí que se dava início à atividade maliciosa no background. O objetivo desta atividade era fazer com que o utilizador pagasse pela subscrição de serviços móveis. Geralmente, este processo parece-se com páginas web que oferecem um serviço em troca de um pagamento diário que depois é cobrado na conta do telemóvel. Este modelo de pagamento foi originalmente desenvolvido por uma rede de operadores de mobile para facilitar os utilizadores a subscreverem os seus serviços premium; atualmente é muitas vezes utilizado como forma de ciberataque.

Uma vez que o dispositivo da vítima estivesse infetado, o malware MobOk recolhia toda a informação do dispositivo como por exemplo o número associado, de forma a tirar partido dessa informação noutros estágios do ataque. De seguida os hackers enviavam para o dispositivo já infetado detalhes de páginas web com serviços de subscrições pagas e o malware abria-os, atuando como um background browser secreto. Utilizando o número de telemóvel extraído previamente, o malware inseria-o no campo “subscrever” e conseguia confirmar a compra. Uma vez que tinha controlo total do dispositivo e conseguia verificar as notificações, o malware conseguia também aceder ao código de confirmação enviado por SMS quando o mesmo chegava – tudo isto sem o utilizador se dar conta do que estava a acontecer. A vítima começava a suportar custos e continuaria a fazê-lo até ao momento em que identificaria pagamentos na sua conta de telefone e cancelasse então a assinatura do serviço.

A capacidade de edição de fotografia do “The Pink Cameras” não era impressionante, mas o que a aplicação conseguia fazer teve um grande impacto: fazer com que os utilizadores subscrevessem a serviços em russo, inglês e tailandês que lhes roubavam dinheiro, monitorizavam SMS e pediam o reconhecimento a partir de testes Captcha – o código que confirma que o utilizador não é um robot – a partir de serviços online. Isto significa que também havia potencial para o roubo de dinheiro das contas bancárias das vítimas. A nossa teoria é a de que os hackers por trás destas aplicações criaram ambas subscrições de serviços, nem todas genuínas, bem como o malware que chegou até aos assinantes, projetando-o para atingir um público internacional,” comenta Igor Golovin, Investigador de Segurança na Kaspersky.

A Kaspersky detetou o malware MobOk como HEUR:Trojan.AndroidOS.MobOk.a

Para evitar ser vítima de aplicações maliciosas, os investigadores da Kaspersky recomendam:

  • Lembrar que mesmo uma fonte fidedigna, como uma app store oficial, podem ter aplicações perigosas. Estar sempre alerta e verificar sempre as permissões das aplicações para confirmar tudo o que se está a permitir a que as aplicações instaladas acedam. Verificar as classificações e reviews em stores oficiais, como a Google Play ou a App Store. As aplicações maliciosas podem por vezes receber classificações baixas e os próprios consumidores poderão fazer comentários de alerta sobre risco de malware em caso de instalação da aplicação – prestar atenção extra aos pedidos de permissão.
  • Instalar os updates do sistema e da aplicação assim que os mesmos estejam disponíveis – corrigem vulnerabilidades e mantém os dispositivos protegidos.
  • Utilizar uma solução de segurança fiável para uma proteção abrangente contra um grande conjunto de possíveis ameaças como o Kaspersky Security Cloud.

 

Relatório completo disponível na Securelist.

Classifique este item
(0 votos)
Ler 2265 vezes
Tagged em
Mais nesta categoria: « Donald Trump anuncia fim do embargo à Huawei ESET descobre vulnerabilidade em App do Cirque Du Soleil »

Itens relacionados

Top