Segurança Cibernética

Malware pornográfico para Android Dubsmash 2: o retorno

Lisandro Carmona de Souza, 2 Agosto 2015

Malware pornográfico para Android Dubsmash 2: o retorno

Autores de malwares não conseguem tirar suas mãos da pornografia


Em abril, relatamos que um aplicativo clicador de pornografia passou pelas barreiras do Google Play e se fez passar pelo popular aplicativo Dubsmash. O maware sofreu uma nova mutação e mais uma vez teve uma breve vida na Google Play, desta vez escondendo-se em vários “jogos”.


Para o seu prazer


A forma original do clicador pornográfico era executada completamente oculta em segundo plano, o que significa que as vítimas nem notavam que algo estava acontecendo. Desta vez, os autores faziam a pornografia um pouco mais visível às suas vítimas.


A mutação apareceu na Google Play no dia 14 de julho e estava incluída em 5 jogos, cada um deles foi baixado por 5.000 a 10.000 usuários. Felizmente, o Google reagiu rapidamente e já removeu os jogos da sua loja.


Grupo de aplicativos de jogos infectados pelo malware Clicker-AR na Loja Google Play. Grupo de aplicativos de jogos infectados pelo malware Clicker-AR na Loja Google Play.



Assim que o aplicativo era baixado, não parecia fazer nada de importante ao ser aberto pelo usuário. Contudo, quando a vítima abria o seu navegador ou outros aplicativos, o malware começava a ser executado em segundo plano e redirecionava o usuário para sites pornográficos. Os usuários talvez não percebessem de onde estes redirecionamentos vinham, pois a única forma de evita-los era “matar” o aplicativo em segundo plano.


Você me dá permissão para...


Esta nova mutação, que o Avast detecta como Clicker-AR, solicitou uma importante permissão que era vital para que o aplicativo fizesse o seu trabalho sujo. O aplicativo solicitou permissão para “desenhar sobre outros aplicativos”, o que significa que poderia interferir com a interface de qualquer outro aplicativo ou alterar o que as vítimas viam em outros aplicativos. Isto fazia com que o malware colocasse conteúdo adulto por cima das telas dos usuários.





Vamos jogar “Clue”


Nós não percebemos imediatamente que os criadores do Clicker-AR fizeram um acordo com outros da Turquia que estavam por trás do falso aplicativo Dubsmash. Foi quando o nosso colega Nikolaos Chrysaidos mergulhou mais a fundo e conseguiu conectar algumas pistas e descobrir quem estava por trás deste malware. Ele percebeu que o falso aplicativo Dubsmash e os novos aplicativos tinham o mesmo código base64 de desencriptação dos links pornográficos. Depois percebeu que eles compartilhavam a mesma função “bilgiVer”, o que significa “dar informação” em turco. Finalmente, os antigos e os novos aplicativos utilizavam o mesmo servidor DNS na Turquia e, além disso, criaram agora um servidor adicional nos Estados Unidos: parece que eles fizeram alguns investimentos com o lucro que tiveram com as primeiras versões.





Tchau pornografia!


Como já foi mencionado, estes aplicativos maliciosos já foram removidos da Google Play e o Avast os detecta com o nome Clicker-AR. Os seguintes jogos foram infectados com o Clicker-AR: Extezaf tita, Kanlani Titaas, Kapith Yanihit, Barte Beledi e Olmusmi bunlar. Se você tem algum destes aplicativos instalados no seu aparelho, sugerimos que os removam imediatamente e, além disso, tomem o cuidado de ter um antivírus instalado, como o Avast Mobile Security, que protege você contra o malware móvel.


Siga o Avast no Facebook, Twitter, YouTube e Google+, onde a gente mantém você atualizado todos os dias com notícias sobre segurança digital.