Aparentemente, tudo acaba bem, mas não só tiveram uma despesa, geralmente entre 40€ a 100€, como ganharam uma falsa sensação de segurança, já que os relatórios das análises após o pagamento indicam um sistema completamente "limpo", o que é tão falso como o relatório inicial que alertava para a existência de ameaças.

Este tipo de esquema é muito comum em Windows, com o MacOS X muito atrás em segundo lugar. Mas outros sistemas operativos não estão isentos das intenções destes cibercriminosos.

O SophosLabs adquiriu recentemente um exemplar de scareware para Android intitulado Android Defender. Não é uma aplicação propriamente "polida", encerrando subitamente com frequência quando a exploramos, mas demonstra claramente que os burlões têm um interesse activo nos sistemas Android.

Oferecemos uma "visita guiada" sobre este scareware, para que todos os utilizadores possam obter pontos de referência que os ajudem a diferenciar software de segurança real de falso, no futuro.

Começámos por emular uma imagem do sistema operativo Android 4.2.2 e lançámos o desafio.

Em seguida, instalámos o software malicioso. Na vida real, os utilizadores são aliciados a transferi-lo de um website, mas nós utilizámos a ferramenta Android Debug Bridge (adb) para o injectar do PC de testes para a imagem emulada.

É possível observar o ícone da aplicação no canto superior esquerdo, dado que o seu nome começa (convenientemente) por "A". Executámo-lo para observarmos o que aconteceria em seguida.

A aplicação alertou que o dispositivo estava em risco de ser infectado, o que é irónico, visto que o dispositivo já estava infectado ao ter o Android Defender instalado. É apresentada a sugestão para comprar a versão completa, mas sem grandes pressões, para já.

A análise inicial sugere rapidamente que temos problemas. Dois vírus, um trojan e um exemplar de malware, para sermos precisos.

É possível que um utilizador fique inclinado para acreditar neste relatório, já que as "ameaças" encontradas são nomes de malware para Android já muito falados.

Mas tudo não passa de um falso alarme. Não é preciso ser um programador para identificar no código-fonte abaixo, que a app está a utilizar a função Math.random() para gerar uma lista de nomes de vírus a serem apresentados no relatório.

Os nomes de malware são campos actualizáveis, guardados em Russo e Inglês num ficheiro de dados XML que faz parte do ficheiro APK (a extensão dos pacotes de instalação em Android) desta aplicação.

Isto é o mais aproximado possível ao que conhecemos como assinaturas, padrões ou definições de malware, que será possível encontrar na app. Não existe nada que ajude efectivamente o produto a localizar vírus em ficheiros infectados. Existe apenas uma lista de nomes que, ao serem escolhidos aleatoriamente pela aplicação mesmo em dispositivos não infectados, simplesmente torna desnecessários os padrões de reconhecimento.

A maioria dos vírus na lista de nomes de malware para Android existem de facto, para acrescentar veracidade à situação. Mas curiosamente, por algum motivo o conhecido vírus Conficker, exclusivo para Windows, conseguiu fazer parte dessa lista.

A pressão para registar o produto começa a aumentar, dado que é altura para proceder à desinfecção do pseudo-malware. E assim avançámos, tentando "activar" o software.

A página de compra não funcionava, por isso não podemos informar qual o valor que os burlões tencionavam cobrar-nos. Mas isso não importou porque já tinhamos um código de activação retirado do código-fonte.

Já tinhamos testemunhado esta atitude "descomplicada" em processos de activação de scareware para Mac. Será este sistema de activação tão simplista por razões meramente experimentais, ou apenas desleixo do criador? Provavelmente nunca saberemos.

 

O processo encerrou inesperadamente assim que clicámos no botão de activação, mas ao executá-lo novamente comprovámos que a activação funcionara e que o dispositivo se encontrava "totalmente protegido."

 

A análise seguinte já não apresentava uma assustadora cor vermelha, mas sim um mais apaziguador verde. Mas melhor ainda, a app simula a "eliminação" do malware "detectado" anteriormente.

De facto, o software cria uma pequena base-de-dados sqlite em que regista quais os vírus "encontrados" e se os "limpou" à sua maneira fraudulenta, de modo a garantir a consistência da sua desonestidade.

 

Existe ainda um gestor de privacidade integrado na app, presumivelmente porque é o tipo de funcionalidade que outros produtos de segurança para Android fornecem. E nem sequer falta uma página de actualizações, que no entanto os burlões se esqueceram de traduzir.

 

A actualização é simulada com uma listagem de ficheiros de assinaturas supostamente transferidos da Internet. No nosso caso, nem sequer poderia transferir nada porque, conforme é visível nas diversas imagens deste artigo, o teste foi realizado com o dispositivo em "Modo de voo", que inibe todas as comunicações externas, e funciona no emulador precisamente como num dispositivo real.

 

As actualizações são apenas simuladas uma vez por dia, para parecerem realistas. A app simula ainda um aumento progressivo do tamanho da base-de-dados cada vez que é processada uma actualização. Uma vez mais, é o código Java a gerar um número aleatório em segundo plano.

 

Não imaginamos que tenha instalado este programa, mas se o fez, sugerimos que o remova de imediato.

 

E para o instalar, primeiro teve que indicar ao seu dispositivo que pretendia usufruir da liberdade de procurar por software fora da loja online oficial da Google.

 

A nossa sugestão, caso o tenha feito (e visto que acabou mal para si caso tenha este malware instalado), é que desactive a opção "Origens desconhecidas" em Definições>Segurança, no seu Android.

 

A propósito, talvez queira considerar a instalação de uma solução de segurança legítima para Android que detectará e desinfectará de forma gratuita o malware detectado.

O Sophos Security and Antivirus está disponível na Play Store, logo não necessita de activar a opção "Origens desconhecidas" para o instalar.

 

E garantimos que de facto procurará por ameaças antes de as reportar. E ao encontrar uma ameaça, não lhe fará exigências, apresentando apenas um aviso e um simples botão que lhe permite desinstalar a aplicação maliciosa encontrada.

 

Esperamos que este artigo seja útil para potenciar a percepção de todos os utilizadores Android para os riscos que correm a qualquer momento, e recomendamos a sua partilha entre amigos, familiares e conhecidos, de modo a alcançar o maior número de utilizadores possível.

 

Mantenha-se a par de outros artigos sobre segurança da Sophos seguindo-nos no Facebook, Twitter e LinkedIn.