{"id":20062,"date":"2022-09-29T16:35:54","date_gmt":"2022-09-29T19:35:54","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20062"},"modified":"2022-09-29T16:37:52","modified_gmt":"2022-09-29T19:37:52","slug":"harly-trojan-subscriber","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/harly-trojan-subscriber\/20062\/","title":{"rendered":"Harly: outro Trojan de assinaturas na Google Play"},"content":{"rendered":"

\u00c9 comum encontrar todos os tipos de malware escondidos no que parecem ser aplicativos inofensivos nas lojas oficiais como na Google Play. Infelizmente, mesmo que a plataforma seja analisada com cuidado, os moderadores nem sempre conseguem pegar esses aplicativos antes de serem publicados. Uma das varia\u00e7\u00f5es mais populares desse tipo de malware \u00e9 o Trojan de assinaturas, que inscreve a v\u00edtima em servi\u00e7os pagos sem autoriza\u00e7\u00e3o. J\u00e1 escrevemos<\/a> sobre as fam\u00edlias mais comuns desse tipo de Trojans. Hoje, nosso objetivo \u00e9 falar de outro. \u00c9 semelhante ao Jocker \u2013 \u00e9 por isso que \u00e9 chamado de Harly, o nome (ligeiramente alterado) da parceira<\/a> de um conhecido vil\u00e3o de quadrinhos. Os dois Trojan provavelmente t\u00eam a mesma origem.<\/p>\n

O desonesto Trojan Harly<\/h2>\n

Desde 2020, mais de 190 aplicativos infectados com o Harly foram encontrados na Google Play. Uma estimativa conservadora do n\u00famero de downloads desses aplicativos \u00e9 de 4.8 milh\u00f5es, mas o n\u00famero real pode ser ainda maior.<\/p>\n

\"Exemplos

Exemplos de aplicativos no Google Play que cont\u00eam malware Harly<\/p><\/div>\n

Assim como o Trojan Jocker, os Trojans da fam\u00edlia Harly imitam aplicativos leg\u00edtimos. Ent\u00e3o, como funciona? Os golpistas baixam aplicativos comuns do Google Play, escondem neles c\u00f3digos maliciosos e depois os enviam para a Google Play com um nome diferente. Os aplicativos ainda podem ter os recursos listados na descri\u00e7\u00e3o, ent\u00e3o os usu\u00e1rios podem nem suspeitar de uma amea\u00e7a.<\/p>\n

\"Mais

Mais exemplos de aplicativos no Google Play que cont\u00eam o malware Harly<\/p><\/div>\n

A maioria dos membros da fam\u00edlia Jocker s\u00e3o downloaders de m\u00faltiplos est\u00e1gios<\/a> \u2014 eles recebem o payload<\/em> dos servidores C&C dos golpistas. Os trojans da fam\u00edlia Harly, por outro lado, cont\u00eam toda a carga dentro do aplicativo e usam diferentes m\u00e9todos para descriptograf\u00e1-lo e execut\u00e1-lo.<\/p>\n

\"Avalia\u00e7\u00e3o

Avalia\u00e7\u00e3o de usu\u00e1rios reclamando de cobran\u00e7as<\/p><\/div>\n

Como\u00a0 funciona o Trojan de assinatura Harly<\/h2>\n

Vamos tomar como exemplo um aplicativo chamado com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), um aplicativo de lanterna que teve mais de 10.000 downloads na Google Play.<\/p>\n

\"Um

Um aplicativo infectado com o Trojan Harly<\/p><\/div>\n

\u00a0<\/strong>Quando o aplicativo \u00e9 baixado e executado, c\u00f3digos maliciosos s\u00e3o carregados;<\/p>\n

\"Uma

Uma biblioteca infectada<\/p><\/div>\n

\u00a0<\/strong>A biblioteca descriptografa o arquivo dos recursos do aplicativo.<\/p>\n

\"Descriptografia

Descriptografia de um arquivo dos recursos do aplicativo<\/p><\/div>\n

\u00a0<\/strong>Curiosamente, os desenvolvedores do malware aprenderam a usar as linguagens Go<\/a> e Rust<\/a>, mas por enquanto suas habilidades est\u00e3o limitadas a descriptografar e carregar o SDK<\/a> malicioso.<\/p>\n

Como outros Trojans de assinatura, o Harly coleta informa\u00e7\u00f5es sobre o dispositivo do usu\u00e1rio e, particularmente, sobre a rede m\u00f3vel. O telefone do usu\u00e1rio muda para uma rede m\u00f3vel e, em seguida, o Trojan pede ao servidor C&C para configurar a lista de assinaturas que devem ser feitas.<\/p>\n

Este Trojan em particular funciona apenas com operadores tailandeses, ent\u00e3o primeiro os MNCs<\/a> (c\u00f3digos de rede mobile) s\u00e3o verificados \u2014 os identificadores exclusivos das operadoras de rede para se certificar de que s\u00e3o tailandeses:<\/p>\n

\"Verifica\u00e7\u00e3o

Verifica\u00e7\u00e3o dos MNCs<\/p><\/div>\n

No entanto, como um MNC de teste, ele usa o c\u00f3digo da China Telecom \u2014 46011. Esta e outras pistas sugerem que os desenvolvedores de malware est\u00e3o localizados na China.<\/p>\n

\"Teste

Teste MNC<\/p><\/div>\n

O Trojan abre o endere\u00e7o de assinatura em uma janela invis\u00edvel e, injetando scripts JS, digita o n\u00famero de telefone do usu\u00e1rio, pressiona os bot\u00f5es necess\u00e1rios e digita o c\u00f3digo de confirma\u00e7\u00e3o a partir de uma mensagem de texto. O resultado \u00e9 que o usu\u00e1rio recebe notifica\u00e7\u00f5es de uma assinatura paga sem perceber.<\/p>\n

Outra caracter\u00edstica not\u00e1vel deste Trojan \u00e9 que ele pode realizar inscri\u00e7\u00f5es n\u00e3o apenas quando o processo \u00e9 protegido por um c\u00f3digo de mensagem de texto, mas tamb\u00e9m quando ele \u00e9 protegido por liga\u00e7\u00f5es telef\u00f4nicas como m\u00e9todo de autentica\u00e7\u00e3o: neste caso, o Trojan faz uma chamada para um n\u00famero espec\u00edfico e confirma a assinatura.<\/p>\n

Nossos produtos detectam os aplicativos nocivos que descrevemos aqui como Trojan.AndroidOS.Harly e Trojan.AndroidOS.Piom.<\/p>\n

Como se proteger dos Trojans de assinatura<\/h2>\n

As lojas de aplicativos oficiais est\u00e3o continuamente combatendo a dissemina\u00e7\u00e3o de malware, mas, como vemos, nem sempre s\u00e3o bem-sucedidas. Antes de instalar um aplicativo, voc\u00ea deve primeiro ler as avalia\u00e7\u00f5es do usu\u00e1rio e verificar a classifica\u00e7\u00e3o na Google Play. Claro, tenha em mente que os coment\u00e1rios e as classifica\u00e7\u00f5es podem ser exageradas<\/a>. Para que voc\u00ea n\u00e3o seja v\u00edtimas desse tipo de malware, recomendamos que voc\u00ea instale uma solu\u00e7\u00e3o de seguran\u00e7a confi\u00e1vel<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Explicamos como o Harly, Trojan de assinaturas, tem como alvo usu\u00e1rios do Android.<\/p>\n","protected":false},"author":2492,"featured_media":20063,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260],"tags":[34,2037,1025,807],"class_list":{"0":"post-20062","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-android","9":"tag-assinaturas-pagas","10":"tag-google-play","11":"tag-trojans"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/harly-trojan-subscriber\/20062\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/harly-trojan-subscriber\/24633\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/harly-trojan-subscriber\/20100\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/harly-trojan-subscriber\/10143\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/harly-trojan-subscriber\/27085\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/harly-trojan-subscriber\/24990\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/harly-trojan-subscriber\/25313\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/harly-trojan-subscriber\/27704\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/harly-trojan-subscriber\/27229\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/harly-trojan-subscriber\/34011\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/harly-trojan-subscriber\/11049\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/harly-trojan-subscriber\/45573\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/harly-trojan-subscriber\/19501\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/harly-trojan-subscriber\/29306\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/harly-trojan-subscriber\/32616\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/harly-trojan-subscriber\/28493\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/harly-trojan-subscriber\/25478\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/harly-trojan-subscriber\/31046\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/harly-trojan-subscriber\/30738\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/android\/","name":"Android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20062","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2492"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=20062"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20062\/revisions"}],"predecessor-version":[{"id":20075,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20062\/revisions\/20075"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/20063"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=20062"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=20062"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=20062"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}