Um pouco antes do lançamento da versão para Android do Prisma, um aplicativo para celular muito popular que é utilizado para editar fotos, o Google Play Store ficou repleto de apps falsos.
Os investigadores da ESET descobriram muitos tipos de apps falsos que tentam se passar pelo Prisma, incluindo alguns mais perigosos que descarregam cavalos de tróia. A equipe de segurança do Google Play os excluiu da loja oficial do Android depois da notificação emitida pela ESET. No entanto, até então, os aplicativos falsos que se passavam pelo Prisma alcançaram a marca de mais de 1,5 milhões de downloads realizados pelos fãs.
Prisma é um editor de fotos excepcional desenvolvido pelos laboratórios Prisma, Inc. No início, o aplicativo estava projetado para sistemas iOS, onde obtinham excelentes qualificações entre os usuários do iTunes, a loja de aplicativos para celulares da Apple. Muitos dos usuários do Android estavam ansiosos para usá-lo e esperavam a chegada do lançamento oficial no Google Play, que ocorreu no último dia 24 de julho.
Como já ocorreu com muitos aplicativos populares do Google Play anteriormente, várias versões falsas aproveitaram a impaciência dos usuários e lotaram a loja antes da data de lançamento oficial.
Funcionalidade dos apps falsos do Prisma
A maioria dos aplicativos falsos do Prisma que se encontram no Google Play não tem nenhuma funcionalidade para edição fotográfica. No lugar disso, apenas mostram anúncios publicitários ou questionários falsos, que atraem os usuários para que forneçam informações pessoais ou assinem serviços de SMS falsos (e com alto custo).
Alguns oferecem a funcionalidade de edição fotográfica muito básica, mas ainda assim, o propósito principal é mostrar ao usuário uma série interminável de anúncios emergentes ou assustá-lo com scareware para convencê-lo de que o dispositivo está infectado com um malware.
Dos aplicativos falsos do “Prisma” encontrados no Google Play antes do lançamento do aplicativo legítimo, os mais perigosos são os que baixam cavalos de tróia, detectados pela ESET como Android/TrojanDownloader.Agent.GY. Diferente dos outros, que utilizam anúncios e questionários irritantes, estes cavalos de tróia trabalham em segundo plano e escondem seus ícones para que sua presença no dispositivo não seja detectada. Enviam informações do dispositivo ao servidor de C&C e, em seguida, baixam módulos adicionais e os executa por meio de uma ordem dos cibercriminosos.
Quando analisamos essa infiltração, o cavalo de tróia havia baixado e executado um módulo adicional para roubar informações confidenciais, como o número de telefone, nome do operador, nome do país, o idioma, etc. No entanto, a funcionalidade dos módulos baixados pode variar em cada caso.
Dos cinco responsáveis por baixar cavalos de tróia descobertos no Google Play, dois destes tinham uma funcionalidade de phishing, que provavelmente poderiam executar-se por meio do módulo baixado. Ao ver uma solicitação falsa para atualizar o sistema operacional do dispositivo para Android 6.0, o usuário é induzido a ingressar as credenciais da conta do Google no formulário de acesso falso.
Tradução do texto:
"Для обновления вашего устройства необходимо авторизоваться!
Ваша версия Android:
Доступная версия: 6.0"
"Você deve iniciar sessão para atualizar o dipositivo.
Sua versão de Android:
Versão disponível: 6.0”
"Один аккаунт. Весь мир Google!Подождите, идет проверка..."
"Apenas uma conta. Google em todo o mundo.
Espera, antes você deve verificar seus dados...”
Devido a capacidade de download, a família do malware Android/TrojanDownloader.Agent.GY representa um sério risco para os mais de 10.000 usuários de Android que instalarão estes aplicativos perigosos antes que o Google os exclua de sua loja.
Antes do lançamento…
Com o éxito que teve o Prisma na plataforma iOS, estava claro que os usuários do Android o esperava com ansiedade. Estas circunstancias normalmente atraem os cibercrimonosos, que aproveitam a ocasião para distribuir os aplicativos falsos por meio do Google Play, se passando pelo aplicativo original ou por outros aplicativos derivados, como tutoriais ou truques.
Por meio do uso de ícones, nomes, desenvolvedores ou comentários falsos, ganham dinheiro com os anúncios que mostram, os cliques falsos, os golpes, ou no pior dos casos, o uso de ransomware, instalado no dispositivo da vítima através de um responsável por baixar os cavalos de tróia.
No passado, fomos testemunhas de uma grande quantidade de casos, onde aplicativos falsos aproveitavam a popularidade no Google Play. Os exemplos mais recentes são os aplicativos falsos do “Pokémon Go”. Os fãs do famoso jogo GTA 5 também foram alvo dos aplicativos falsos antes do lançamento oficial e o mesmo padrão pode ser observado com os apps populares do MSQRD, que apareceu na loja do Google Play com numerosas imitações. Muitos outros aplicativos populares (entre eles: My Talking Angela, Dubsmash y Subway Surfers) também foram precedidos por cavalos de tróia clicker de sites pornográficos.
Conclusão
Baixar um aplicativo popular antes do lançamento oficial é realmente uma má ideia, já que a possibilidade de encontrar um aplicativo genuíno é praticamente nula, enquanto que o risco de baixar uma imitação maliciosa é muito alto. Isso acontece inclusive na loja Google Play, onde se adotam todos os mecanismos de segurança do Google.
Para os usuários é dificil determinar se um app em particular é verdadeiro ou não. Os cibercriminosos geralmente utilizam ícones, nomes de aplicativos, assinaturas e inclusive capturas de tela muito semelhantes aos originais para confundir aos usuários.
Recomendações dos especialistas da ESET:
Continue sempre com as boas práticas ao baixar aplicativos móveis para o Android:
- Faça download apenas por meio de fontes confiáveis.
- Leia as opiniões dos usuários focando-se principalmente nos comentários negativos (lembre-se que os positivos podem ser inventados).
- Leia os termos e condições do aplicativo, tendo uma atenção às permissões solicitadas.
- Utilize uma solução de segurança de qualidade para os dispositivos móveis.
Quando o aplicativo desejado é muito popular, deve-se considerar as seguintes dicas:
- Provavelmente você encontrará apps falsos que se fazem passar pelo legítimo, por isso, tenha mais cuidado que de costume.
- Verifique cuidadosamente se o nome do aplicativo e do desenvolvedor são os corretos (devem ser os nomes exatos, não parecidos).
Autor: Lukas Stefanko, da ESET
Adaptação: Francisco de Assis Camurça, da ESET