Nos últimos sete meses, os investigadores da ESET descobriram mais de 340 trojans clicker de sites pornográficos no Google Play, detectados pela ESET como Android/Clicker, e o número continua aumentando. Os cibercriminosos ainda continuam publicando novas variantes desses aplicativos maliciosos no Google Play, sendo considerada a maior campanha de malware direcionada à loja oficial de aplicativos para a plataforma móvel Android.
“Já ocorreram muitas campanhas de malware que atacaram o Google Play, mas nenhuma tinha durado tanto tempo, nem mesmo alcançado um número tão elevado de infiltrações”, explica Lukáš Štefanko, investigador de malware da ESET (especialista em malware para Android).
Em média, os controles de segurança do Google deixaram passar dez novos trojans clicker de sites pornográficos por semana no transcorrer dessa campanha. Esses trojans não apenas conseguiram chegar à loja, como também infectaram os dispositivos de muitos usuários. Para ter uma ideia do alcance, em média, cada um deles foram baixados 3.600 vezes por meio do Google Play.
Os trojans clicker de sites pornográficos não são uma novidade; a atual família ameaça aos usuários do Google Play desde 3 de fevereiro de 2015 e os investigadores da ESET têm acompanhado isso de perto. Para conhecer os detalhes, leia o artigo sobre o trojan clicker que tentou se passar pelo Dubsmash.
Como já é esperado, os criadores desses trojans se aproveitam do interesse dos usuários e se passam por aplicativos mais populares, principalmente por jogos. Depois da instalação, os trojans dão cliques falsos (automáticos) em publicidades com o objetivo de gerar lucro para as operadoras, roubando os anunciantes e prejudicando as plataformas de publicidade. Por outro lado, desde o ponto de vista do usuário, também geram uma grande quantidade de tráfego na Internet, o que pode trazer consequências negativas para quem paga um plano de dados limitado.
Mecanismos frágeis e usuários negligentes
Se considerarmos a grande propagação de trojans clicker no Google Play, é evidente que nem o filtro Bouncer do Google, nem os processos de revisão humana são capazes de manter todos os aplicativos maliciosos fora da loja.
“Esses trojans são publicados na loja em diversas ocasiões. As versões mais recentes sempre incluem alguma modificação leve e o código aparece criptografado para esconder seu verdadeiro propósito”, comenta Štefanko.
Além disso, a opção “Verificar aplicativos” na “Configuração do Google” -> “Segurança”, que bloqueia a instalação de aplicativos móveis que podem causar algum tipo de dano, na verdade, poucas vezes oferece proteção: esse sistema apenas costuma detectar aplicativos maliciosos depois de que são eliminados da Play Store.
O Google também oferece aos clientes uma ferramenta a mais para protegê-los dos aplicativos maliciosos: um sistema de revisão. No caso dos trojans clicker de sites pornográficos, esse sistema de segurança é útil: os aplicativos falsos costumam ter uma qualificação muito baixa, sendo um bom motivo para que os usuários os evitem. Infelizmente, a grande quantidade de downloads demonstra que muitos usuários nem sequer observam as classificações.
“Se um aplicativo tem mais comentários negativos que positivos, os usuários deveriam observar como uma advertência e analisar se realmente é preciso baixá-lo. De qualquer forma, recomendamos a todos os usuários que mantenham suas soluções de segurança sempre atualizadas. Os bons produtos de segurança estão preparados para deter essas ameaças antes que se instalem no dispositivo”, explica Štefanko.
Autor: Peter Stancik, da ESET.