Os arquivos maliciosos costumam se propagar através da Internet, tendo acesso a dispositivos móveis por meio do drive-by-download ou através de golpes que estimulam às vítimas a baixarem executáveis com a promessa de que irão realizar alguma função depois de serem instalados.
No entanto, a quais perigos os usuários móveis enfrentam quando navegam pela Web? Diariamente recebemos no Laboratório de Investigação da ESET relatórios de endereços URL que propagam códigos suspeitos ou hospedam possíveis páginas falsas. A análise dessa informação nos ajuda a compreender quais tipos de sites representam maior risco para a segurança dos usuários.
A primeira interrogação que podemos fazer provavelmente seja relacionada aos tipos de sites que podem propagar maior quantidade de arquivos suspeitos. Ao analisar as URL identificadas como suspeitas no primeiro semestre de 2016, podemos ver que mais de um quarto correspondem a lojas não oficiais da APK e quase a metade delas são serviços de file hosting.Em diversas ocasiões temos alertado aos nossos leitores sobre a importância de evitar lojas não oficiais de aplicativos, pois não é possível saber realmente o que contém os executáveis que são distribuídos através delas. Enquanto algumas lojas são mais conhecidas e conservam o mesmo domínio com o passar do tempo, outras costumam mudar com frequência; por isso, grande parte das lojas móveis analisadas já não se encontram disponíveis.
Os serviços de armazenamento de arquivos na nuvem têm servido ao longo dos anos para distribuir toda classe de malware e é importante manter-se em uma posição de desconfiança sempre que um arquivo é compartilhado por um usuário desconhecido. Muitas vezes, usuários técnicos que buscam personalizar seus dispositivos móveis terminam baixando executáveis por meio dessas páginas, cometendo erros que podem provocar terríveis consequências.
Outro dado interessante emerge da análise dos países aos quais pertencem os endereços IP envolvidos na análise. Como vemos, a Colômbia leva a liderança no ranking dos países da América Latina que distribuem mais códigos maliciosos. Com 83% de URL pertencentes aos IPs colombianos, o país é seguido pelo Brasil e Cuba com 6,3% e 6% respectivamente no segundo e terceiro lugar.
Do total de arquivos suspeitos, 3,6% foram algum tipo de código malicioso. Com uma porcentagem semelhante, 36,7% de endereços distribuem aplicativos inseguros, enquanto que 26,8% correspondem a aplicativos não desejados. Essas últimas duas categorias, embora não possamos dizer que são códigos malicioso por si mesmos, podem significar um grande risco para os usuários, por isso, sempre é conveniente indicar expressamente sua detecção na solução de segurança que tenha instalada.
Das amostras identificadas positivamente como malware, a maior parte (55%) corresponde a algum aplicativo destinado a explorar vulnerabilidades no sistema operacional, usualmente para liberar o sistema de arquivos do equipamento e ganhar permissões de root. Uma vez que o código malicioso tenha ganhado permissões necessárias pode continuar entrando em contato com o centro de comandos e controle para escalar seu ataque em diferentes endereços.
Em segundo lugar, encontramos a Android/Obfus, uma família criada pelos produtos da ESET para diferenciar aplicativos maliciosos que tenham sido ofuscados para complicar sua análise, o qual pode ser um reflexo de como os cibercriminosos se preocupam cada vez mais por ofuscar suas criações. Também temos a Android/TrojanDownloader, uma família de códigos que, uma vez instalados, baixam e instalam outros trojans no equipamento. Em quarto lugar encontramos a família Android/Spy focada no roubo de informações do terminal ou usuário.
Como vemos, a Web pode ser verdadeiramente perigosa para os usuários que não tomam medidas para proteger sua segurança. Por isso, recomendamos que você sempre realize o download de aplicativos por meio de sites confiáveis, esteja sempre atento a qualquer possível redirecionamento automático e não deixe de criar um ambiente seguro de trabalho instalando alguma solução de segurança.