Versão falsa de Minecraft do Android envia SMS sem permissão

Pesquisadores da F-Secure divulgaram nesta semana a descoberta de um aplicativo falso que copia a versão mobile de Minecraft, a Pocket Edition (PE). Com mesmo nome e ícone, o app malicioso é distribuído em lojas virtuais russas paralelas à Play Store , e traz como “surpresa” a capacidade de enviar SMS sem a permissão dos usuários.

A tática garante ganhos aos invasores, já que as mensagens são entregues a serviços “premium”. Algo parecido, mas dentro dos conformes da lei, é feito por empresas que cobram por SMS enviado ao usuário, como as de horóscopo.

O mais curioso desse caso é que o Minecraft falso ainda é pago. No entanto, custa metade do preço do original, o que deve provocar menos desconfiança por parte dos usuários e possíveis vítimas do golpe. Um simples anúncio de “promoção” veiculado na loja virtual, por exemplo, já poderia eliminar quaisquer suspeitas de falsidade.

Todo o processo malicioso se deve a uma simples linha de código, responsável por solicitar ao sistema permissão para enviar mensagens. E segundo a F-Secure, o aplicativo ainda utiliza uma ferramenta de hack chamada Smalihook, que faz com que o Minecraft falso seja identificado como vindo da Play Store – ou seja, confiável.

O Smalihook, de acordo com a empresa de segurança, faz parte de um “kit” ainda maior de ferramentas para quebra de proteção. Chamado de AntiLVL, ele é “voltado para desenvolvedores que querem testar suas próprias defesas contra tipos comuns de ataques”.

Prevenção – Apesar de o app ter sido identificado apenas em lojas paralelas da Rússia, é válido adotar algumas medidas de prevenção para cair em armadilhas semelhantes. A principal delas é evitar esse tipo de lojas alternativas – basta ver a origem do programa problemático. Ofertas suspeitas também requerem atenção.

E ainda que o aplicativo não tenha chegado à Play Store, vale também sempre reparar nas avaliações e comentários antes de baixar algo, mesmo na fonte oficial. Afinal, ela nem sempre se mostra segura.