Um editor de fotos diferente

5 jul 2019

Toda vez que falamos sobre a segurança do Android, sempre recomendamos que o download de aplicativos seja feito apenas via Google Play Store, pois contém menos aplicativos perigosos se compararmos com outras plataformas. Mesmo assim, de tempos em tempos, cibercriminosos conseguem esconder malwares em apps de lojas oficiais. Então a pergunta é: como evitar o download de um aplicativo malicioso do Play? Preste muita atenção às permissões solicitadas pela aplicação e pondere as razões pelas quais você precisa conceder certas autorizações antes de aceitá-las (ou rejeitá-las). No post de hoje, lidamos com esse problema: os perigos oferecidos por aplicativos do Google Play que solicitam permissões que parecem desnecessárias.
Não faz muito tempo, descobrimos alguns programas maliciosos no Google Play que se apresentavam como aplicativos de fotos. Ambas as aplicações já acumulavam mais de 10 mil downloads. Assim, disponibilizadas por um período suficiente para conseguir tantos downloads e camufladas ao ponto de não chamar atenção, pois eram apenas “mais um editor de fotos”.

Dois editores de fotos quase idênticos, supostamente de diferentes desenvolvedores, que ativam uma assinatura paga secretamente.

Dois editores de fotos quase idênticos, supostamente de diferentes desenvolvedores, que ativam uma assinatura paga secretamente.

 

O único detalhe que chamaria a atenção de um usuário mais observador era que os aplicativos não pararam de solicitar acesso às notificações repetidas vezes e não aceitaram uma resposta negativa. Todas as mensagens recebidas aparecem nas notificações, o que significa que os editores de fotos, se tivessem permissão, poderiam lê-las. Mas um editor de fotos não precisa desse acesso. Normalmente, essa funcionalidade faz sentido para estabelecer uma comunicação com um smartwatch. Então, por que pediram isso?

Após a instalação, o suposto editor de fotos coletou as informações (número de telefone, modelo do smartphone, tamanho da tela, operadora de celular, etc.) e as enviou para o servidor dos cibercriminosos. Por sua vez, o app recebeu uma lista de endereços web que direcionaram (por meio de vários redirecionamentos) para uma página de pagamento de assinatura.

Você já deve ter se deparado com assinaturas pagas em algum momento. Às vezes, elas são o tom que ouve quando recebe uma chamada e isso requer um pagamento diário, ou também mensagens WAP ou SMS que você não precisa, mas que de real em real, consomem os créditos do seu telefone. A popularidade dessas assinaturas varia dependendo do país em que você está localizado. Muitas vezes, as pessoas se inscrevem por simples descuido. Não lêem as letras miúdas e, antes que percebam, estão pagando por um horóscopo. Em geral, as vítimas de páginas de pagamento só percebem que essas assinaturas estão ativas quando o saldo se esgota rapidamente.

Neste caso particular, a tarefa do malware é que a vítima se inscreva ao conteúdo pago sem levantar suspeitas. Para isso, o que ele faz é desabilitar o wifi e carregar as páginas maliciosas por meio de dados móveis em janelas que o usuário não vê. E, para preencher os campos obrigatórios (por exemplo, um número de telefone), use as informações coletadas anteriormente. Se o processo de assinatura usar um CAPTCHA, a imagem será enviada para um serviço especial para descriptografia; e se for necessário um código de verificação por SMS que será interceptado devido ao acesso às notificações.

Como evitar assinaturas indesejadas

Calcular imediatamente o possível dano de um aplicativo malicioso é difícil, mas existem maneiras de saber se uma aplicação é suspeita e se proteger de recursos ocultos.

  • Revise com cuidado a lista de permissões que o programa solicita. Sugerimos que você leia nossa publicação sobre permissões do Android (link interno para conteúdo relacionado). Se um aplicativo solicitar acesso a permissões potencialmente perigosas e você considerá-las desnecessárias, não tenha medo de rejeitá-las. E se você insistir, exclua-o.
  • Use uma solução de segurança Por exemplo, o Kaspersky Internet Security for Android detecta as “páginas de inscrição” e avisa sobre o perigo.
  • Se a sua operadora de celular oferece a opção, abra uma “conta de conteúdo” adicional ou ative o serviço de bloqueio de assinatura.