O que são programas falsos, de onde vêm e por que são perigosos?

16 jul 2019

Os produtos da Kaspersky catalogam alguns softwares como “hoax”. Neste artigo, vamos investigar o que isso significa, em quais casos nossos produtos emitem esse alerta e porque os usuários devem ter cuidado com esses programas.

Os astrólogos anunciam o ano dos programas falsos: as detecções duplicaram

O motivo dessa publicação é o aumento do número de detecções que nossos produtos de segurança online fizeram de programas falsos. A quantidade de usuários que se depararam com esse tipo de software malicioso dobrou no ano passado. Em resumo, mais e mais usuários estão caindo na zona de risco, então vale a pena examinar cuidadosamente esse problema. Então, vamos começar com uma breve análise para entendermos o contexto de crescimento.

Muitos usuários reclamam da velocidade de inicialização de seus computadores e aplicativos, até mesmo das falhas no sistema. É um problema que todos já enfrentaram e acontece porque durante uma operação, o computador é bloqueado com todos os tipos de informações, diminuindo a performance de processamento.

A demanda gera oferta, de modo que os programas que prometem acelerar e limpar o computador logo começaram a se multiplicar. O rápido crescimento de softwares com esse propósito começou no final dos anos 2000 e não parou.

Os programas de limpeza, geralmente, procuram por arquivos temporários ou não utilizados, chaves de registro, programas de inicialização, etc., e informam ao usuário a presença deste “lixo digital”, que pode decidir limpar o computador por meio desse programa. Isso melhora o funcionamento do sistema até certo ponto.

Infelizmente, nem todos os softwares de limpeza/aceleração são inofensivos. Entre os desenvolvedores que criam programas para ajudar os usuários, há também muitos cibercriminosos.

O que é um programa falso?

Alguns programas para limpar o computador e melhorar seu desempenho forçam o usuário a pagar para se livrar das supostas ameaças detectadas. Mas existem duas funcionalidades chave que ajudam a diferenciar os verdadeiros dos programas falsos:Primeiro de tudo, programas falsos enganam deliberadamente o usuário, exagerando riscos ou, até mesmo, relatando erros inexistentes.

Em segundo lugar, ao invés de oferecer uma opção, obrigam o usuário a fazer uma compra garantindo que, se o pagamento não for feito, o problema não terá solução.

Na Kaspersky, nós os chamamos de programas falsos, Hoax, softwares que intencionalmente enganam o usuário. Estes são alguns exemplos dos vereditos que os produtos de segurança do Kaspersky emitem:

  • HEUR:Hoax.Win32.Uniblue.gen
  • Win32.PCFixer.gen
  • Win32.DeceptPCClean.*
  • Win32.PCRepair.*
  • HEUR:Hoax.Win32.PCRepair.gen
  • HEUR:Hoax.MSIL.Optimizer.gen
  • Win32.SpeedUpMyPC.gen

Como programas falsos funcionam?

Após a instalação, os programas falsos executam uma verificação do sistema e escaneiam tudo, modo de funcionamento parecido com os verdadeiros. Depois disso, o usuário vê uma janela com informações sobre os problemas detectados.

E esse é o principal problema com esse tipo de software malicioso. O usuário é intimidado por meio de mensagens sobre um número de erros enorme encontrados no sistema. Este é um exemplo de um “limpador” que exagera nos problemas potenciais com chaves de registro:

Exemplo de um programa de limpeza que exagera na relevância de possíveis problemas com chaves de registro

Exemplo de um programa de limpeza que exagera na relevância de possíveis problemas com chaves de registro

 

Ou a ferramenta pode encontrar alguns erros reais, mas exagera no nível de importância com uma linguagem enganosa. Por exemplo, com este atualizador de driver, o status varia de “antiga” para “muito antiga”:

Esta ferramenta avalia a versão do driver instalado no sistema como "velha", "muito antiga" ou "antiga"

Esta ferramenta avalia a versão do driver instalado no sistema como “velha”, “muito antiga” ou “antiga”

 

Alguns programas falsos se recusam a fechar imediatamente se o usuário clicar no x, em vez disso, exibem outra janela com a mensagem intimidadora de “Nível de dano: alto”.

Tentativa de fechar um programa faz outra janela intimidadora aparecer

Tentativa de fechar um programa faz outra janela intimidadora aparecer

Programas falsos também gostam de ser adicionados à lista de programas de inicialização e inundar o usuário com notificações pop-up que informam que algo está errado.

Notificação pop-up de um programa falso

Notificação pop-up de um programa falso

 

Programas falsos não são coisa apenas do ecossistema do Windows. Este é um exemplo encontrado no MacOS em que um uso crítico de log/cache é relatado.

Exemplo de programa falso no MacOS

Exemplo de programa falso no MacOS

 

Para resolver este problema, o usuário é instruído a comprar a versão completa do software. Se essa ação for executada, muitos desses programas maliciosos apagam o que encontraram no computador, mas a necessidade desses serviços é superestimada. Talvez alguns não limpem realmente o dispositivo, então, na melhor das hipóteses, o usuário gasta mais dinheiro e, na pior, não recebe nada em troca de seu investimento.

Adwares e as chances de ser infectado por um Trojan

Cheios de ganância, alguns desenvolvedores programas de limpeza fraudulentos dão um passo à frente e, além de seu trabalho, instalam outros programas no computador do usuário. Geralmente, é adware, mas, em alguns casos, pode ser um Trojan.

Por exemplo, interagir com um programa falso pode fazer com que o computador de um usuário pare de funcionar. Na imagem a seguir, o programa se expande para tela inteira, sobrepõe a barra de ferramentas e bloqueia tentativas de alterar o aplicativo pressionando Alt + Tab e retornando com F11.

Tela que bloqueia o computador com a opção de abrir o acesso remoto

Tela que bloqueia o computador com a opção de abrir o acesso remoto

 

Em seguida, o usuário recebe uma solicitação para digitar um código de desbloqueio do computador (que, é claro, não tem) ou para abrir o acesso remoto via TeamViewer, AnyDesk ou outra plataforma com essa funcionalidade cujos ícones estão convenientemente localizados à direita da janela.

Como um programa falso entra no computador

O objetivo dos desenvolvedores de programas falsos são os usuários domésticos que não estão muito familiarizados com os sistemas operacionais dos dispositivos ou estão preocupados com “se livrar do lixo” e com a atualização do sistema.

Quando o computador começa a ficar lento, muitos usuários pesquisam soluções na rede e podem acabar optando por um programa falso se não tiverem cuidado.

Mas há também outro método de distribuição de programas falsos. Às vezes, um programa falso é adquirido por meio de promoções fraudulentas ou páginas web. Uma infecção baseada em adware pode ter a seguinte aparência:

Exemplo de uma infecção por adware que oferece a otimização do sistema

Exemplo de uma infecção por adware que oferece a otimização do sistema

 

Você também pode encontrar sites fraudulentos que oferecem “serviços” para limpar / acelerar quando navega por domínios questionáveis. Por exemplo, esta página mostra uma notificação que informa sobre a detecção de um spyware no computador.

Exemplo de uma página que imita o site da Microsoft e assusta o usuário com vírus

Exemplo de uma página que imita o site da Microsoft e assusta o usuário com vírus

 

Em geral, o usuário é solicitado a chamar “suporte técnico” (recebe dinheiro por meio de ligações) ou faz o download de um programa falso. Não confie nestas páginas, apenas feche-as imediatamente.

Outra maneira cada vez mais comum de disseminar softwares de programas falsos é por meio de notificações pop-up no navegador, que os usuários geralmente aceitam sem pensar. Cada dia mais, os alertas em dispositivos móveis estão muito populares (por exemplo, entre cibercriminosos) e começam a causar dores de cabeça.

Nem todo mundo sabe como eles funcionam, de onde vêm ou como desativá-los. De fato, às vezes, os usuários nem percebem que essas notificações chegam pelo navegador e podem vir de sites intenções questionáveis.

Notificações do navegador que redirecionam os usuários para baixar um programa falso

Notificações do navegador que redirecionam os usuários para baixar um programa falso

 

Depois de clicar nessas notificações, os cibercriminosos redirecionam os usuários para páginas fraudulentas “disfarçadas” de componentes de segurança. Este é um exemplo que simula a interface do Windows Defender:

Página fraudulenta que simula a interface do Windows Defender

Página fraudulenta que simula a interface do Windows Defender

 

Quando o cibercriminoso consegue assustar o usuário com todos os supostos problemas do computador, ele o redireciona para uma página de download de um programa falso.

Página de download de um programa falso

Página de download de um programa falso

 

Estatísticas de distribuição e localização geográfica dos falsos programas

Como já mencionado no início do artigo, no final de 2018, observamos um boom na atividade do mercado de softwares fraudulentos de otimização de desempenho. E esse crescimento continua vertiginoso. O número de usuários afetados dobrou desde o início do ano passado, assim como o número de reclamações.

Nossas estatísticas mostram que o país preferido dos desenvolvedores e distribuidores de programas falsos é o Japão, onde nos últimos anos um em cada oito usuários foi afetado. Depois, seguido pela Alemanha e, surpreendentemente, pela Bielorrússia. Itália e Brasil completam o top 5.

Os desenvolvedores de antivírus pararam a maré dos programas falsos até certo ponto, de fato, conseguiram até mesmo banir alguns deles do “mercado”.

Em resposta, vários distribuidores de programas falsos estão abandonando o modelo baseado em “intimidação” para o de informar os usuários de maneira mais apropriada, sem exagerar a seriedade dos problemas que encontram e oferecendo versões de avaliação gratuita de seus produtos. No entanto, esta luta ainda não acabou.

Por que os programas falsos são prejudiciais?

Consideramos importante avisar os usuários sobre esses programas falsos por vários motivos:

  • Os desenvolvedores desse tipo de software deliberadamente enganam os usuários, exagerando os riscos dos problemas detectados ou mesmo informando sobre outros que nem sequer existem.
  • Esses “serviços” podem ser muito caros.
  • Alguns programas falsos não resolvem nenhum problema, apenas fingem que corrigem erros.
  • Uma grande parte dos criadores de programas falsos também instala softwares que vão de adwares aos malwares mais extremos em seus programas.

Como se proteger contra softwares de programas falsos

Essas dicas de segurança na internet ajudarão a protegê-lo contra possíveis ameaças:

  • Ignore ameaças intimidadoras sobre vírus ou erros no seu computador exibidos por sites. Nunca clique em nenhum desses avisos, muito menos baixe ou instale qualquer coisa.
  • Selecione uma ferramenta de limpeza de qualidade, caso acredite que precisa de uma. Investigue um pouco e ouça os conselhos de publicações confiáveis.
  • Para evitar confrontos com programas falsos, instale uma solução de antivírus confiável que notifique sobre programas fraudulentos.