Os aplicativos não foram detectados pelo Google e pelos antivírus.
O Google Play , repositório oficial da empresa para aplicativos Android, foi novamente pego hospedando aplicativos fraudulentos e potencialmente maliciosos, com a descoberta de mais de 56 aplicativos – muitos deles para crianças – que foram instalados em quase 1,7 milhão de dispositivos.
Tekya é uma família de malware que gera cliques fraudulentos em anúncios e banners entregues por agências como AdMob, AppLovin ‘, Facebook e Unity do Google. Para dar aos cliques o ar de autenticidade, o código ofuscado faz com que os dispositivos infectados usem o mecanismo “MotionEvent” do Android para imitar ações legítimas do usuário. No momento em que os pesquisadores da empresa de segurança Check Point os descobriram, os aplicativos não foram detectados pelo VirusTotal e pelo Google Play Protect. Vinte e quatro dos aplicativos que continham Tekya foram comercializados para crianças. O Google removeu todos os 56 aplicativos depois que o Check Point os denunciou.
A descoberta “destaca mais uma vez que o Google Play Store ainda pode hospedar aplicativos maliciosos”, escreveram os pesquisadores da Check Point Israel Wernik, Danil Golubenko e Aviran Hazum em um post publicado na terça-feira . “Existem quase 3 milhões de aplicativos disponíveis na loja, com centenas de novos aplicativos sendo enviados diariamente, tornando difícil verificar se todos os aplicativos são seguros. Assim, os usuários não podem confiar apenas nas medidas de segurança do Google Play para garantir que seus dispositivos estejam protegidos. ”
Indo para nativo
Para dificultar a detecção do comportamento malicioso, os aplicativos foram escritos no código nativo do Android – normalmente nas linguagens de programação C e C ++. Aplicativos Android geralmente usam Java para implementar lógica. A interface dessa linguagem fornece aos desenvolvedores a facilidade de acessar várias camadas de abstração. O código nativo, por outro lado, é implementado em um nível muito mais baixo. Embora o Java possa ser facilmente descompilado – um processo que converte binários novamente em código-fonte legível por humanos -, é muito mais difícil fazer isso com o código nativo.
Depois de instalados, os aplicativos Tekya registram um receptor de transmissão que executa várias ações, incluindo:
- BOOT_COMPLETED para permitir que o código seja executado na inicialização do dispositivo (inicialização “fria”)
- USER_PRESENT para detectar quando o usuário está usando ativamente o dispositivo
- QUICKBOOT_POWERON para permitir que o código seja executado após a reinicialização do dispositivo
O único objetivo do receptor é carregar a biblioteca nativa ‘libtekya.so’ na pasta de bibliotecas dentro do arquivo .apk de cada aplicativo. A publicação Check Point fornece muito mais detalhes técnicos sobre como o código funciona. Os representantes do Google confirmaram que os aplicativos foram removidos do Play.
Mas espere . . . tem mais
Separadamente, o provedor de antivírus Dr.Web divulgou na terça-feira a descoberta de um número não revelado de aplicativos do Google Play , baixados mais de 700.000 vezes, que continham malware apelidado de Android.Circle.1. O malware usava código baseado na linguagem de script BeanShell e combinava funções de adware e fraude de clique. O malware, que teve 18 modificações, pode ser usado para realizar ataques de phishing.
A publicação do Dr.Web não nomeou todos os aplicativos que continham Android.Circle.1. Os poucos aplicativos identificados foram Papel de Parede Preto – Fundo Escuro, Horóscopo 2020 – Horóscopo do Zodíaco, Sweet Meet, Câmera de Desenho Animado e Bubble Shooter. O Google removeu todos os aplicativos relatados pelo Dr.Web.
Os dispositivos Android geralmente desinstalam os aplicativos depois que eles são considerados maliciosos, mas o mecanismo nem sempre funciona conforme o esperado. Os leitores podem querer verificar seus dispositivos para ver se eles foram infectados. Como sempre, os leitores devem ser altamente seletivos nos aplicativos que instalam. Sem dúvida, as verificações do Google detectam uma grande porcentagem de aplicativos mal-intencionados enviados ao Play, mas um número significativo de usuários continua infectado com malware que ultrapassa essas verificações.
Blog de Ti 
Deixe um comentário