O malware adota o nome XX神器 (XXshenqi) em Chinês, ou Heart App de forma generalizada.

Teoricamente, esta app, recebida por convite de um dos seus contactos via SMS, permite-lhe organizar um encontro romântico.

Mas na prática, o utilizador e os seus contactos acabarão envolvidos numa avalanche de SMS.

À semelhança de outro caso que recentemente apresentámos, este ataque envolve um vírus real, isto é, malware que se distribui deliberadamente.

Como comentámos nessa ocasião, os vírus são raros atualmente, com a maioria do malware a ser distribuído em e-mails gerados diretamente pelos cibercriminosos, seja por anexo ou como links clicáveis, em vez disso ser realizado pelo próprio malware.

Enviar malware como spam dá aos criminosos a vantagem de direcionar rapidamente milhões de potenciais vítimas, as quais poderão ficar infetadas numa única tentativa, logo durante a primeira vaga do ataque.

Por outro lado, um vírus que se propague reencaminhando-se apenas aos contactos presentes nos dispositivos afetados começará a distribuir-se em pequena escala, e aumentará a “todo o vapor” ou fracassará.

O famoso vírus Ikee para o iPhone, em 2009, o único vírus conhecido para iOS que se propagou massivamente foi, felizmente, um desses fracassos. Distribuiu-se por ligações SSH apenas entre dispositivos iOS com jailbreak, o que limitou a sua comunidade de potenciais vítimas.

Mas pelo contrário, este novo vírus para Android avançou a “todo o vapor”.

Detetado como Andr/SmsSend-FA pelas soluções Sophos, propaga-se por SMS aos primeiros 99 contactos contendo um link para download.

Assim, mesmo apenas algumas infeções iniciais podem gerar rapidamente um grande volume de tráfego, e foi precisamente o que aconteceu.

De acordo com as notícias Chinesas, os operadores locais de telecomunicações móveis reportam terem bloqueado mais de 20 milhões de mensagens, com "pelo menos 100.000 dispositivos infetados”.

Como chega o vírus?

Com a Google Play oficialmente ausente na China, os mercados alternativos de apps para Android surgiram em força e os utilizadores Chineses habituaram-se a manter ativada a opção de permitir a instalação de software proveniente de fontes desconhecidas nos seus dispositivos Android.

Por isso, se decidir arriscar em clicar num link partilhado por um contacto que seja semelhante ao seguinte...

 

...saiba que você e 99 dos seus contactos farão parte do problema.

Qual a aparência do vírus?

O pacote de instalação .APK do vírus cobre as suas pistas com um atrativo ecrã inicial que surge assim que o executa:

 

Mas por esta altura já despoletou a sua propagação em segundo plano, enviando-se por SMS aos primeiros 99 contactos do dispositivo.

Após terminar, envia uma SMS de confirmação para um número de controlo, presumivelmente pertencente ao autor do malware.

Em primeiro plano, a app apresenta um ecrã de login falso através do qual tenta recolher informação pessoal identificável:

 

Obviamente, não poderá iniciar sessão sem se registar, e se o tentar fazer serão solicitados dados pessoais:

 

Ao introduzi-los, somos informados que o registo foi realizado com sucesso. De facto, o que realmente aconteceu foi que os dados introduzidos foram enviados por SMS para o referido número de controlo.

O componente secundário

O vírus tem ainda um outro truque, ao solicitar que se instale um componente secundário que não passa de outro pacote de malware embutido no próprio vírus.

Controlar a instalação deste malware secundário através do vírus que já se encontra em execução, garante ao autor que será mais difícil para o utilizador remover esse componente secundário mais tarde, já que não se encontrará sequer na habitual página de aplicações instaladas.

Este método funciona da seguinte forma:

Ao lançar o vírus pela primeira vez, ao surgir o falso ecrã de login, será apresentado um popup que indica a necessidade de instalar um "resource pack" (ou pacote de recursos):

 

Se concordar com a instalação desta subaplicação, acabará com uma app chamada com.android.Trogoogle assim como uma com o nome XXshenqi, mas a primeira não surgirá na página das apps.

Essa app inicia um serviço chamado TroListenService (cujo “Tro“ presumimos ser o prefixo pouco subtil para Trojan) que lê as SMS recebidas.

 

Ao receber uma mensagem de um número de controlo, trata-a como um comando para tornar este malware num bot ou zombie:

readmessage: envia por e-mail todas as SMS existentes nas pastas recebidas e enviadas.

sendmessage: envia uma SMS do dispositivo infetado.

test: envia uma SMS de teste e reinicia o malware.

makemessage: insere uma falsa SMS na pasta de mensagens recebidas.

sendlink: envia por e-mail a lista de contactos.

Alegado autor identificado

Numa interessante comparação com o caso do worm Ikee, o alegado autor deste malware "Heart App" foi rapidamente identificado.

No caso Ikee, a Sophos identificou o autor seguindo pistas significativamente óbvias no código, associando-as a Wollongong, na Austrália.

 

Como este vírus fracassou, a polícia decidiu não julgar o autor. De facto, a sua notoriedade proporcionou-lhe uma oferta de trabalho como programador de aplicações para dispositivos móveis.

Mas a história não parece tão favorável ao autor do "Heart App", que foi detido pela polícia em Shenzhen.

A sua identidade ainda não foi revelada, aparentemente devido à investigação se encontrar em curso, sabendo-se apenas que se chama "Li" e é um estudante de engenharia de software com 19 anos.

Ao que parece, foi a Shenzhen nas férias de Verão visitar amigos, ficou aborrecido e decidiu desenvolver este malware basicamente para provar as suas capacidades de programador.

Mas não se saiu um grande cibercriminoso, sendo detido apenas 17 horas após o seu vírus ter sido detetado pela primeira vez.

 

Remover o vírus "Heart App"

Desinstalar a app XXshenqi do ecrã de aplicações não é o suficiente:

 

O componente TroGoogle para roubo dos contactos e envio de SMS permanecerá no sistema.

É necessário aceder a Definições | Aplicações | Transferidas e desinstalar ambas as partes do malware a partir daí.

 

Clique em cada app para aceder à respetiva informação onde encontrará o botão Desinstalar, de modo a remover ambos os componentes:

Mais informações

Recomendamos que:

• Consulte os nossos conselhos para manter cibercriminosos longe do seu dispositivo móvel.
• Conheça o que surgiu nos últimos 10 anos de malware para dispositivos móveis.
• Saiba como remover aplicações maliciosas utilizando o Modo de segurança em Android.
• Instale gratuitamente o Sophos Anti-Virus para Android.
  
  

 

Mantenha-se atualizado sobre as últimas ameaças nas páginas no Facebook, Twitter, LinkedIn ou no blog, e partilhe este e outros conteúdos da BSPI e Sophos com outros utilizadores destas redes sociais. 

Para conhecer as soluções Sophos mais adequadas às suas necessidades específicas de segurança, visite www.bspi.pt.