Malware para Android se disfarçava de Google Play para roubar dados
Ameaça foi detectada pela FireEye, que, em conjunto com o Google, derrubou conta de e-mail usada pelo criminoso para roubar SMS, certificados e dados bancários
Da Redação
Publicado em 18 de junho de 2014 às 18h18.
Pesquisadores da área de segurança mobile da FireEye divulgaram nesta quarta-feira a descoberta de um novo e curioso malware para Android . Ao ser instalada, a ameaça aparecia na tela inicial do smartphone ou tablet disfarçada de Google Play usando ícone e nome similares para induzir o usuário ao erro , e era capaz de interceptar SMS, certificados e dados bancários das vítimas
Com o nome de googl app stoy, o programa malicioso até começava a funcionar quando o dono do dispositivo móvel clicava no ícone. No entanto, depois que ele pedia por permissões do usuário, uma mensagem de erro em coreano era exibida, dizendo que o aplicativo havia parado de funcionar e que ele seria desinstalado. Mas apenas o atalho desaparecia.
Pelas configurações do Android, era possível ver que o app continuava em execução, rodando outros cinco serviços e usando um servidor DNS dinâmico com protocolo SSL do Gmail. Com isso, ele conseguia coletar as informações desejadas e as enviar depois ao criminoso, ao mesmo tempo em que passava credibilidade e fugia do radar de eventuais antivírus instalados tanto que apenas 3 dos 51 testados no VirusTotal detectaram a ameaça, já que eles analisam quase sempre detectam vírus pela assinatura.
Detalhes do malware Segundo a empresa de segurança, o pacote do malware "googl app stoy" se chamava com.sdwiurse, e o aplicativo mesmo não podia ser removido por vias tradicionais, já que a desinstalação era desativada. Os serviços rodavam em segundo plano, e, apesar da possibilidade de desativá-los, eles voltavam a rodar depois de uma reinicialização do smartphone ou do tablet.
O app analisado e baixado tinha 1,7 MB e poucas linhas de código outra tática para fugir dos antivírus , e o maior arquivo dentro dele era o ds, com quase 600 KB. Depois de decifrado e descomprimido, no entanto, o pacote real de arquivos chegava aos 2,2 MB com o malware completo, escreveram os especialistas na análise publicada no blog da FireEye.
Apesar do susto, a empresa de proteção relatou o problema ao Google, e ambos conseguiram derrubar a conta de e-mail usada pelo criminoso. Mas ainda vale o alerta: evite baixar aplicativos de fora da Google Play ou de outras lojas oficiais, como a da Amazon. Ainda que não sejam exatamente invulneráveis, os ambientes são mais protegidos tanto que é raro encontrar programas maliciosos como o googl app stoy dentro delas.