Scareware: a nova tática de distribuição de malware para Android e iOS (iPhone)

Rui Bacelar
Comentar

A descoberta foi feita pela empresa de cibersegurança ESET que detetou, em muitos dos serviços de encurtamento de URLs analisados, o uso técnicas publicitárias agressivas, como scareware para Android e iOS (iPhone).

Por scareware entendam-se os anúncios que dizem aos utilizadores que os seus dispositivos estão infetados com malware perigoso. Isto para os tentar convencer a instalar apps maliciosas ou participar em inquéritos duvidosos (phishing).

O Scareware tem afetado tanto os dispositivos Android como iOS (iPhone)

Scareware malware Android iOS
Esquema de funcionamento de um ataque por scareware.

Após o "susto" propositado são fornecidos "links" para a solução prometida. Estes, por norma, levam a páginas com anúncios indesejados. É frequente apresentarem conteúdo pornográfico, ou direcionarem para serviços de SMS pagos, ativar notificações no browser (navegador), ou oferecem prémios falsos. Estes são os principais "sintomas" apontados pela ESET.

Para esconder a ameaça são usados links encurtados

Note-se que os serviços de encurtamento de URLs podem ser muito úteis. Estes permitem reduzir o tamanho de URLs longos, recolher dados sobre os dispositivos dos visitantes ou até monetizar cliques. No entanto, estão agora a ser usados frequentemente para fins menos nobres.

Com efeito, a forma mais comum de monetização é apresentando anúncios ao utilizador que clica no URL encurtado. Desse modo, produzindo algum lucro para quem o gerou por cada publicidade apresentada.

Apple iPhone iOS
Infeção por malware do calendário em iOS causado pelo URL encurtado.

No entanto, foi descoberto também que alguns destes serviços descarregam ficheiros de calendário para dispositivos iOS e distribuem malware para Android. Aqui incluindo um bloqueador de anúncios falso que executa software malicioso adicional como trojans e adware agressivo recebido do seu servidor C&C (comando e controlo).

URL curto é usado para infetar dispositivos iOS (iPhone) e Android

No primeiro caso, as vítimas têm que clicar no botão de subscrever. Isto para os seus calendários serem preenchidos com eventos que as informam falsamente que o seu dispositivo está infetado com malware e embebem links para mais scareware.

Os utilizadores podem permanecer seguros não aceitando a subscrição do calendário ou, se já o fizeram, apagando os eventos importados sem clicar nos links embebidos.

Instalar apps fora da Google Play Store é um risco para Android

O segundo caso é mais complicado. Por norma, as vítimas pretendem obter uma app fora da loja oficial Google Play e acabam por instalar um bloqueador de anúncios falso apelidado pela agência de segurança de Android/FakeAdBlocker.

Tal como no primeiro caso, este malware preenche o calendário da vítima com eventos de scareware. Contudo, para além disso exibe anúncios no browser, notificações enganadoras, conteúdo pornográfico e um balão de diálogo que imita uma app de mensagens legítima.

Foram também identificadas centenas de instâncias em que foram descarregados trojans bancários mais perigosos. Os utilizadores afetados devem desinstalar o Android/FakeAdBlocker. Algo que é identificável por não ter nem ícone, nem nome na lista de apps.

Desinstalar o malware não remove os eventos de scareware que foram criados no calendário, sendo necessário apagá-los manualmente ou através de uma app.

Se o Android/FakeAdBlocker tiver descarregado trojans no processo de infeção, estes também devem ser removidos.

Malware Android
Exemplo de scareware apresentado em dispositivos Android.

A recomendação passa por evitar clicar em links contidos em anúncios de encurtadores de URLs. Por não aceitar subscrições a calendários indesejados no caso do iOS e só instalar apps da loja oficial Google Play no caso do Android.

Por fim, não sendo necessária uma solução de antivírus para Android, nem para iOS, é necessária uma boa dose de atenção a este tipo de ameaças. Estas são as conhecidas atualmente, mas surgirão certamente novos vetores de ataque.

Em síntese, é importante estarmos informados e suspeitar, não usar, ou rejeitar este tipo de "sustos" e alertas com segundas intenções.

Editores 4gnews recomendam:

Rui Bacelar
Rui Bacelar
Na escrita e comunicação repousa o gosto, nas leis a formação. É na tecnologia que encontrou o seu expoente máximo e na 4gnews a plataforma ideal para a redação e produção de vídeo.