Malware para Android se disfarçava de Google Play para roubar dados

Pesquisadores da área de segurança mobile da FireEye divulgaram nesta quarta-feira a descoberta de um novo e curioso malware para Android. Ao ser instalada, a ameaça aparecia na tela inicial do smartphone ou tablet “disfarçada” de Google Play – usando ícone e nome similares para induzir o usuário ao erro –, e era capaz de interceptar SMS, certificados e dados bancários das vítimas

Com o nome de “googl app stoy”, o programa malicioso até começava a funcionar quando o dono do dispositivo móvel clicava no ícone. No entanto, depois que ele pedia por permissões do usuário, uma mensagem de erro em coreano era exibida, dizendo que o aplicativo havia parado de funcionar e que ele seria desinstalado. Mas apenas o atalho desaparecia.

Pelas configurações do Android, era possível ver que o app continuava em execução, rodando outros cinco serviços e usando um servidor DNS dinâmico com protocolo SSL do Gmail. Com isso, ele conseguia coletar as informações desejadas e as enviar depois ao criminoso, ao mesmo tempo em que passava credibilidade e fugia do radar de eventuais antivírus instalados – tanto que apenas 3 dos 51 testados no VirusTotal detectaram a ameaça, já que eles analisam quase sempre detectam vírus pela assinatura.

Detalhes do malware – Segundo a empresa de segurança, o pacote do malware "googl app stoy" se chamava “com.sdwiurse”, e o aplicativo mesmo não podia ser removido por vias tradicionais, já que a desinstalação era desativada. Os serviços rodavam em segundo plano, e, apesar da possibilidade de desativá-los, eles voltavam a rodar depois de uma reinicialização do smartphone ou do tablet.

O app analisado e baixado tinha 1,7 MB e poucas linhas de código – outra tática para fugir dos antivírus –, e o maior arquivo dentro dele era o “ds”, com quase 600 KB. “Depois de decifrado e descomprimido, no entanto, o pacote real de arquivos chegava aos 2,2 MB com o malware completo”, escreveram os especialistas na análise publicada no blog da FireEye.

Apesar do susto, a empresa de proteção relatou o problema ao Google, e ambos conseguiram derrubar a conta de e-mail usada pelo criminoso. Mas ainda vale o alerta: evite baixar aplicativos de fora da Google Play ou de outras lojas oficiais, como a da Amazon. Ainda que não sejam exatamente invulneráveis, os ambientes são mais protegidos – tanto que é raro encontrar programas maliciosos como o “googl app stoy” dentro delas.