{"id":21985,"date":"2023-11-17T09:58:26","date_gmt":"2023-11-17T12:58:26","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=21985"},"modified":"2023-11-17T09:58:26","modified_gmt":"2023-11-17T12:58:26","slug":"malware-in-google-play-2023","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/malware-in-google-play-2023\/21985\/","title":{"rendered":"Malwares do Google Play atingem mais de 600 milh\u00f5es de downloads em 2023"},"content":{"rendered":"

Os usu\u00e1rios tendem a pensar que \u00e9 seguro instalar os aplicativos do Google Play. Afinal, \u00e9 a mais oficial de todas as lojas oficiais para Android, e todos os aplicativos s\u00e3o cuidadosamente verificados pelos moderadores da Google, certo?<\/p>\n

No entanto, lembre-se de que o Google Play re\u00fane mais de tr\u00eas milh\u00f5es de aplicativos \u00fanicos<\/a>, sendo que a maioria deles \u00e9 atualizada regularmente; assim, verificar todos minuciosamente, minuciosamente mesmo <\/em>, \u00e9 uma tarefa que est\u00e1 al\u00e9m dos recursos at\u00e9 mesmo de uma das maiores empresas do mundo.<\/p>\n

Bem cientes disso, os fabricantes de aplicativos maliciosos desenvolveram uma s\u00e9rie de t\u00e9cnicas para colocar suas cria\u00e7\u00f5es no Google Play. Nesta postagem, analisaremos os casos mais chamativos de 2023 relativos a aplicativos maliciosos na loja oficial do Android, com um total superior a 600 milh\u00f5es de downloads! Vamos l\u00e1!<\/p>\n

50.000 downloads: o aplicativo iRecorder infectado escuta os usu\u00e1rios<\/h2>\n

Vamos come\u00e7ar com o caso relativamente pequeno, mas bastante interessante e altamente ilustrativo do iRecorder. Esse aplicativo comum de grava\u00e7\u00e3o de tela para smartphones Android foi carregado no Google Play em setembro de 2021.<\/p>\n

Ent\u00e3o, em agosto de 2022, seus desenvolvedores adicionaram algumas funcionalidades maliciosas: um c\u00f3digo de cavalo de troia de acesso remoto AhMyth, que fazia com que os smartphones de todos os usu\u00e1rios que instalaram o aplicativo gravassem o som do microfone a cada 15 minutos e o enviassem para o servidor dos criadores do aplicativo. Quando os pesquisadores descobriram o malware<\/a> em maio de 2023, o aplicativo iRecorder havia sido baixado mais de 50.000 vezes.<\/p>\n

Esse exemplo demonstra uma das maneiras pelas quais os aplicativos maliciosos se infiltram no Google Play. Primeiro, os cibercriminosos carregam um aplicativo inofensivo na loja, garantindo que ele passe por todas as verifica\u00e7\u00f5es de modera\u00e7\u00e3o. Ent\u00e3o, quando o aplicativo tiver conquistado um p\u00fablico e alguma reputa\u00e7\u00e3o (o que pode levar meses ou at\u00e9 anos), ele \u00e9 alterado com a funcionalidade maliciosa na pr\u00f3xima atualiza\u00e7\u00e3o carregada no Google Play.<\/p>\n

620.000 downloads: cavalo de troia de assinatura Fleckpe<\/h2>\n

Tamb\u00e9m em maio de 2023, nossos especialistas encontraram v\u00e1rios aplicativos no Google Play<\/a> infectados com o cavalo de troia de assinatura Fleckpe. A essa altura, eles j\u00e1 haviam contabilizado 620.000 instala\u00e7\u00f5es. Curiosamente, esses aplicativos foram carregados por desenvolvedores diferentes. E essa \u00e9 outra t\u00e1tica comum: os cibercriminosos criam v\u00e1rias contas de desenvolvedor na loja para que, mesmo que algumas sejam bloqueadas pelos moderadores, possam simplesmente carregar um aplicativo semelhante em outra conta.<\/p>\n

\"Aplicativos<\/a>

Aplicativos no Google Play infectados com o cavalo de troia de assinatura Fleckpe<\/p><\/div>\n

Quando o aplicativo infectado era executado, a principal carga maliciosa era baixada no smartphone da v\u00edtima e, depois disso, o cavalo de troia se conectava ao servidor de comando e controle e transferia as informa\u00e7\u00f5es do pa\u00eds e da operadora de celular. De acordo com essas informa\u00e7\u00f5es, o servidor fornecia instru\u00e7\u00f5es sobre como proceder. O Fleckpe ent\u00e3o abria p\u00e1ginas da Web com assinaturas pagas em uma janela do navegador invis\u00edvel para o usu\u00e1rio e, ao interceptar os c\u00f3digos de confirma\u00e7\u00e3o de notifica\u00e7\u00f5es recebidas, fazia com que o usu\u00e1rio assinasse servi\u00e7os desnecess\u00e1rios, pagos por meio da conta da operadora de celular.<\/p>\n

1,5 milh\u00e3o de downloads: spyware chin\u00eas<\/h2>\n

Em julho de 2023, foi descoberto que o Google Play hospedava<\/a> dois gerenciadores de arquivos; um com um milh\u00e3o de downloads e o outro com meio milh\u00e3o. Apesar das garantias dos desenvolvedores de que os aplicativos n\u00e3o coletavam nenhum dado, os pesquisadores descobriram que ambos transmitiam muitas informa\u00e7\u00f5es do usu\u00e1rio para servidores na China, inclusive contatos, geolocaliza\u00e7\u00e3o em tempo real, dados sobre o modelo do smartphone e a rede celular, fotos, \u00e1udio, arquivos de v\u00eddeo e muito mais.<\/p>\n

\"Gerenciadores<\/a>

Gerenciadores de arquivos no Google Play com spyware chin\u00eas. Fonte<\/a><\/p><\/div>\n

Para evitar serem desinstalados pelo usu\u00e1rio, os aplicativos infectados ocultavam seu \u00edcone de \u00e1rea de trabalho, outra t\u00e1tica comum usada pelos criadores de malwares para dispositivos m\u00f3veis.<\/p>\n

2,5 milh\u00f5es de downloads: adware em segundo plano<\/h2>\n

Em um caso recente de detec\u00e7\u00e3o de malware no Google Play em agosto de 2023, pesquisadores descobriram<\/a> at\u00e9 43 aplicativos, incluindo, entre outros, TV\/DMB Player, Music Downloader, not\u00edcias e calend\u00e1rio, que carregavam an\u00fancios secretamente quando a tela do smartphone do usu\u00e1rio estava desligada.<\/p>\n

\"Os<\/a>

Alguns dos aplicativos com adware oculto. Fonte<\/a><\/p><\/div>\n

Para poder realizar neg\u00f3cios em segundo plano, os aplicativos solicitavam que o usu\u00e1rio os adicionasse na lista de exclus\u00f5es da economia de energia. Inevitavelmente, os usu\u00e1rios afetados tiveram uma redu\u00e7\u00e3o na vida \u00fatil da bateria. Esses aplicativos tiveram um total combinado de 2,5 milh\u00f5es de downloads, e o p\u00fablico-alvo era principalmente coreano.<\/p>\n

20 milh\u00f5es de downloads: aplicativos fraudulentos que prometiam recompensas<\/h2>\n

Um estudo publicado no in\u00edcio de 2023 revelou v\u00e1rios aplicativos suspeitos<\/a> no Google Play com mais de 20 milh\u00f5es de downloads entre eles. Posicionando-se principalmente como rastreadores de sa\u00fade, eles prometiam aos usu\u00e1rios recompensas em dinheiro pela pr\u00e1tica de caminhada e outras atividades, bem como pela visualiza\u00e7\u00e3o de an\u00fancios ou instala\u00e7\u00e3o de outros aplicativos.<\/p>\n

\"Aplicativos<\/a>

Aplicativos no Google Play prometendo recompensas por caminhadas e visualiza\u00e7\u00e3o de an\u00fancios. Fonte<\/a><\/p><\/div>\n

Mais precisamente, o usu\u00e1rio recebia pontos por essas a\u00e7\u00f5es, que supostamente poderiam ser convertidos em dinheiro real. O \u00fanico problema era que, para obter uma recompensa, era necess\u00e1rio acumular um n\u00famero t\u00e3o grande de pontos que era efetivamente imposs\u00edvel.<\/p>\n

35 milh\u00f5es de downloads: clones do Minecraft com adware integrado<\/h2>\n

O Google Play tamb\u00e9m se tornou lar de jogos maliciosos este ano, tendo como principal culpado (e n\u00e3o pela primeira vez<\/a>) o Minecraft, ainda um dos t\u00edtulos mais populares do mundo. Em abril de 2023, 38 clones do Minecraft foram detectados<\/a> na loja oficial do Android, com um total de 35 milh\u00f5es de downloads. Escondido dentro desses aplicativos estava o adware chamado HiddenAds.<\/p>\n

\"Clone<\/a>

Block Box Master Diamond \u2014 o mais popular dos clones do Minecraft infectados pelo HiddenAds. Fonte<\/a><\/p><\/div>\n

Quando os aplicativos infectados eram iniciados, eles \u201cexibiam\u201d an\u00fancios ocultos sem o conhecimento do usu\u00e1rio. Isso n\u00e3o representava uma amea\u00e7a s\u00e9ria por si s\u00f3, mas esse comportamento pode afetar o desempenho do dispositivo e a vida \u00fatil da bateria.<\/p>\n

E esses aplicativos infectados sempre podem ser seguidos posteriormente por um esquema de monetiza\u00e7\u00e3o muito menos inofensivo. Essa \u00e9 outra t\u00e1tica padr\u00e3o dos criadores de aplicativos de malware para Android: eles alternam prontamente entre os diferentes tipos de atividade maliciosa, dependendo do que \u00e9 mais lucrativo em um determinado momento.<\/p>\n

100\u00a0milh\u00f5es de downloads: coleta de dados e fraude de cliques<\/h2>\n

Tamb\u00e9m em abril de 2023, foi encontrado no Google Play outros 60 aplicativos<\/a> infectados com um adware que os pesquisadores apelidaram de Goldoson. Esses aplicativos juntos tiveram mais de 100 milh\u00f5es de downloads no Google Play e mais oito milh\u00f5es na popular loja coreana ONE<\/a>.<\/p>\n

Esse malware tamb\u00e9m \u201cexibia\u201d an\u00fancios ocultos ao abrir p\u00e1ginas da Web dentro do aplicativo em segundo plano. Al\u00e9m disso, os aplicativos maliciosos coletavam dados do usu\u00e1rio, inclusive informa\u00e7\u00f5es sobre aplicativos instalados, geolocaliza\u00e7\u00e3o, endere\u00e7os de dispositivos conectados ao smartphone por Wi-Fi e Bluetooth e muito mais.<\/p>\n

O Goldoson parece ter entrado em todos esses aplicativos juntamente com uma biblioteca infectada usada por muitos desenvolvedores leg\u00edtimos que simplesmente n\u00e3o sabiam que ela continha funcionalidades maliciosas. E isso n\u00e3o \u00e9 uma ocorr\u00eancia incomum: muitas vezes os criadores de malware n\u00e3o desenvolvem e publicam aplicativos no Google Play, mas criam bibliotecas infectadas desse tipo, que acabam na loja com os aplicativos de outros desenvolvedores.<\/p>\n

451 milh\u00f5es de downloads: an\u00fancios de minijogos e coleta de dados<\/h2>\n

Fechamos com o maior caso do ano: em maio de 2023, uma equipe de pesquisadores encontrou<\/a> 101 aplicativos ineleg\u00edveis no Google Play, contabilizando 421 milh\u00f5es de downloads combinados. Escondida dentro de cada um deles estava uma biblioteca de c\u00f3digo SpinOk.<\/p>\n

Pouco depois, outra equipe de pesquisadores descobriu mais 92 aplicativos<\/a> no Google Play com a mesma biblioteca SpinOk, com um n\u00famero um pouco mais modesto de downloads: 30\u00a0milh\u00f5es. No total, quase 200 aplicativos contendo o c\u00f3digo SpinOK foram encontrados, com um total de 451 milh\u00f5es de downloads do Google Play entre eles.Esse \u00e9 outro caso em que um c\u00f3digo perigoso foi adicionado em aplicativos a partir de uma biblioteca de terceiros.<\/p>\n

\"Minijogos<\/a>

Minijogos que prometem \u201crecompensas\u201d e mostravam aos usu\u00e1rios aplicativos infectados por SpinOk Fonte<\/a><\/p><\/div>\n

Na superf\u00edcie, a tarefa dos aplicativos era exibir minijogos invasivos que prometiam recompensas em dinheiro. Mas isso n\u00e3o era tudo: a biblioteca SpinOK tinha a capacidade de coletar e enviar dados e arquivos do usu\u00e1rio para o servidor de comando e controle dos desenvolvedores em segundo plano.<\/p>\n

Como se proteger contra malware no Google Play<\/h2>\n

Obviamente, n\u00e3o abrangemos todos os casos de aplicativos maliciosos que entraram no Google Play em 2023, apenas os mais relevantes. A principal conclus\u00e3o desta postagem \u00e9: malwares no Google Play s\u00e3o muito mais comuns do que qualquer um de n\u00f3s imagina: os aplicativos infectados t\u00eam um total de downloads combinado de mais de meio bilh\u00e3o!<\/p>\n

No entanto, as lojas oficiais continuam sendo de longe as fontes mais seguras. Baixar aplicativos em outro lugar \u00e9 muito mais perigoso, motivo pelo qual isso \u00e9 altamente desaconselhado<\/a>. Mas tamb\u00e9m \u00e9 preciso ter cuidado com as lojas oficiais:<\/p>\n