Cerca de 7.5 milhões de utilizadores Android terão sido vítimas de um novo malware disfarçado de aplicações fidedignas. Todas elas aplicações de Lanterna. Todas elas presentes na loja oficial deste sistema operativo Android, a Google Play Store.
As aplicações com software malicioso no seu interior (malware), foram apelidadas de LightsOut pelos peritos de segurança da agência d
Os propósitos e intenções deste malware são simples. Gerar receitas através da frequente apresentação de publicidades / propagandas intrusivas / pop-ups. Conteúdo que forçava o utilizador a clicar nessas publicidades se quisesse continuar a utilizar o seu dispositivo Android.
Google Play Store com novo caso de malware para dispositivos Android
Estas publicidades são apresentadas aleatoriamente. Por exemplo, se um utilizador quisesse terminar uma chamada telefónica só o poderia fazer depois de clicar na publicidade.
O mesmo se aplicava quando queria aceder a alguma aplicação. Em suma, todo o dispositivo Android se tornava num grande pop-up. A apresentação de publicidades era contínua e acabava por baralhar os utilizadores dos dispositivos.
As aplicações infectadas com este malware também se mascaravam logo depois da sua instalação a partir da Google Play Store. Com efeito, depois de as descarregar, as aplicações escondiam-se do utilizador. Desta forma garantiam que não seria tarefa fácil remover e desinstalar estas apps infectadas.
Ao fazer desaparecer o seu ícone após a instalação a partir da Google Play Store os utilizadores ficavam sem qualquer pista sobre qual seria a causadora deste comportamento anómalo nos seus dispositivos. Desta forma, os meliantes garantiam que o malware continuava a gerar receitas.
As funcionalidades do malware LightsOut eram despertadas após a primeira utilização da aplicação infetada. Este terá sido o único mecanismo descoberto pelos peritos de segurança. Só assim é que o malware entrava em ação.
Google Play Store possui alguns mecanismos de verificação de aplicações
O script malicioso continua duas acções, duas capacidades principais. Ambas eram ativadas por um comando e por um servidor remoto assim que a aplicação estava ativa.
Em suma, depois da instalação a partir da Google Play Store bastaria que o utilizador abrisse uma única vez a aplicação para que o malware entrasse em ação. Depois desta primeira ativação, o malware despertava o seu potencial.
Após essa primeira ativação da aplicação o procedimento é o seguinte. A app infectada esconde automaticamente o seu ícone. O utilizador só a encontraria na lista de aplicações instaladas. Isto tornava a sua desinstalação muito mais difícil.
A segunda capacidade da LightsOut seria a apresentação de uma peculiar opção para desativar a apresentação de publicidades. Algo não desprovido de ironia pois os utilizadores que escolhessem a "não" apresentação de publicidades continuariam a ser alvo de publicidade agressiva. Sobretudo em situações em que o utilizador não tinha outra opção a não ser clicar na publicidade.
Tais situações abrangem desde a simples chamada telefónica, ativar o Wi-Fi, ligar um carregador ou simplesmente para poderem bloquear o smartphone / ecrã do mesmo. Para todas essas ações essenciais é apresentada uma publicidade. Para a poderes efetuar, o utilizador afetado não tinha outra escolha senão clicar nessa mesma publicidade.
Malware infestava o dispositivo Android de publicidades
Ao apresentarem publicidades enquanto a dita aplicação descarregada a partir da Google Play Store não estava a ser utilizada os hackers querem simplesmente confundir o utilizador. De forma a desassociarem-se com a aplicação infetada e dando a entender que o problema é do smartphone em si.
Desta forma tentavam despistar o utilizador para que não ficasse tentado a rever quais aplicações teria instalado a partir da Google Play Store. Apesar desta Google Play Store ter vários mecanismos de verificação para detetar aplicações maliciosas, algumas vão escapando periodicamente. À medida que os hackers vão descobrindo quais são estes métodos de verificação, tentam obviamente contornar estas regras.
Para todos os efeitos muitas destas aplicações eram perfeitamente benignas. Pelo menos quando são submetidas para a Google Play Store. Só depois de serem instaladas num dispositivo real é que o malware desperta. Só então é que os componentes de comando e controlo a partir de um servidor remoto entram em ação. Informação avançada pela Check Point.
Aplicações já foram removidas da Google Play Store
Este malware conseguiu passar despercebido em tantas aplicações para Android pois só entrava em ação depois de já estar fora do alcance da Google Play Protect.
Este é o mecanismo principal de verificação de apps na Google Play Store. Outra agravante eram os mecanismos de evasão das aplicações. Um mecanismo que nem sempre é 100% eficaz.
As aplicações infetadas com malware, detectadas pela Check Point foram as Realtime Cleaner, Call Recorder Pro, Smart Flashlight, Cool Flashlight, Flashlight Pro, Network Guard, entre outras. Entretanto já foram removidas cerca de 22 aplicações da Google Play Store. Infelizmente já tinham sido instaladas até cerca de 7.5 milhões de vezes em dispositivos Android.
E tu, tinhas / tens alguma destas aplicações instaladas no teu dispositivo Android?
Assuntos relevantes na 4gnews: