Segurança para Mobiles

Grupo de aplicativos suspeitos de conter adware são removidos da Google Play Store

Alena Nohová, 28 Maio 2018

Aplicativos de clima, fitness, receitas e moedas digitais enviaram spam aos usuários com propagandas indesejadas.

Recentemente, encontramos vários tipos de aplicativos no Google Play, desde aplicativos relacionados à moedas digitais até os de estilo de vida, clima, fitness e de receitas, que, na prática, eram adwaresTodos eles enviavam agressivamente propagandas, redirecionavam os usuários para outros aplicativos na Play Store, coletavam informações básicas sobre os dispositivos dos usuários e eram capazes de receber códigos remotos para serem executados no dispositivo infectado.

Cerca de 26 aplicativos, baseados no framework de desenvolvimento de aplicativos chamado Cordova, incluíam algumas das funcionalidades básicas anunciadas em seus perfis do Google Play. No entanto, esses aplicativos não puderam ser usados adequadamente, porque redirecionavam os usuários para outros aplicativos no Google Play, exibiam anúncios de forma agressiva, mesmo quando o aplicativo não era ativamente usado, e fechavam abruptamente. Informamos a Google sobre esses aplicativos, que foram removidos da Play Store.

Todos esses aplicativos foram publicados em diferentes perfis de desenvolvedores, talvez para evitar que fossem removidos todos de uma vez pela Google, ao longo de meio ano, e foram baixados milhares de vezes. Os 12 aplicativos mais populares foram baixados mais de 10.000 vezes. Alguns dos aplicativos estavam relacionados a criptomoedas que apresentavam taxas de conversão entre as moedas e monitoravam as taxas de câmbio, enquanto os aplicativos de estilo de vida consistiam em aplicativos de clima, fitness e de receitas.

cryptoworld_anon

Depois que os aplicativos eram baixados e iniciados pela primeira vez, seus ícones se ocultavam da tela inicial. A única maneira de os usuários acessarem os aplicativos era por meio da guia "Aplicativos" nas configurações do telefone ou da Google Play Store. Provavelmente, isso foi feito para impedir que os usuários desinstalassem os aplicativos arrastando o widget do aplicativo para a lixeira. Para desinstalar esses aplicativos, o usuário precisava acessar um por um os perfis dos aplicativos na Google Play.

Os aplicativos continuavam sendo executados em segundo plano, mesmo que não precisassem fazer isso para funcionar corretamente. Eles enviavam anúncios mesmo quando não estavam sendo usados, exibindo anúncios sobre os outros aplicativos, sobre a tela inicial e até na tela de bloqueio. Além disso, os aplicativos coletavam informações básicas, como o identificador exclusivo do telefone, o nome do pacote do aplicativo e o sistema em que o telefone estava sendo executado e enviavam para um servidor remoto. Com base nas informações que os aplicativos enviavam de volta para o servidor, parece-nos que não estavam sendo usados para espionar o usuário, mas para confirmar que o telefone tinha a configuração correta para garantir que os anúncios pudessem ser exibidos corretamente.

Suspeitamos que o desenvolvedor por trás desses aplicativos ocultou os ícones dos aplicativos para coletar continuamente essas informações, sem que eles percebessem e para que os usuários não desconfiassem sobre quais aplicativos estavam enviando os anúncios.

Os aplicativos também eram capazes de receber um link de um segundo servidor remoto, do qual podiam baixar códigos. No entanto, o servidor ainda não estava ativo ou o servidor estava aguardando algum tempo até que começasse a enviar as informações de volta aos aplicativos, evitando com esse procedimento a detecção pelos antivírus.

O método que chamava o próprio carregador de classes era ofuscado, de modo que não era óbvio que o código seria carregado, mas nossa análise estática notou que os aplicativos incluíam a classe DexClassLoader, o que nos permite saber se um arquivo apk pode tentar carregar o código no tempo de execução. O desenvolvedor ofuscou o uso dessas classes e métodos, o que nos leva a acreditar que eles estavam tentando esconder a funcionalidade da análise estática conduzida pelos aplicativos antivírus. Ofuscar o uso do carregador de classes é um comportamento muito obscuro: se o desenvolvedor não estivesse planejando carregar nada malicioso, por que eles ocultariam o fato de poder carregar código?

Os comentários deixados pelos usuários revelavam que os aplicativos foram baixados porque outros aplicativos alegavam que dariam moedas gratuitas para jogos caso fossem baixados. Os usuários, mais uma vez, ficavam desapontados, pois ninguém recebia a recompensa. Houve alguns comentários misturados com os negativos que classificaram o aplicativo com 5 estrelas e os analisavam como "ótimos", mas suspeitamos que eram comentários falsos.

Eu estou usando isso para obter gratuitamente o robux, mas este aplicativo é honestamente lixo.

NÃO FUNCIONA!!! Não carrega dados e depois de sair, não consigo encontrar o aplicativo em qualquer lugar no meu telefone e quando eu vou para a Google Play Store, ele não me dá a opção de abrir, apenas para desinstalar, então eu vou fazer isso e nunca tentar este aplicativo novamente! Por falar nisso, obrigado por não me recompensar de tentar esta oferta tapjoy inútil!

fitapp_anon

Alguns comentários também mencionavam que os aplicativos esgotaram a bateria e os dados, o que provavelmente ocorreu porque repetidamente tentaram se conectar a um servidor remoto para obter instruções.

Como evitar os adwares

  • Em primeiro lugar, seja proativo e baixe um software antivírus em seu dispositivo móvel. O antivírus detectará e bloqueará os malwares e adwares antes que eles infectem um dispositivo.

  • Atenha-se a desenvolvedores conhecidos e confiáveis.

  • Leia as revisões de aplicativos. Se a maioria dos comentários for negativa, não baixe o aplicativo!

  • Leia as permissões que os aplicativos estão solicitando. Se um aplicativo que você está baixando solicita permissões que não fazem sentido e não parecem necessárias para que funcione corretamente, pense duas vezes antes de baixá-lo.