Pesquisa de Ameaças

Jogos de blocos abrem as portas para malwares

Threat Intelligence Team, 17 Outubro 2018

Vários jogos de blocos no Google Play Store estão vindo com malwares.

Por Alena Nohová e Vlad Iliushin.

O Google Play Store anuncia várias versões de jogos de blocos (Block Puzzle Jewel, My Blocks, Block Puzzles, Block Puzzles Free, My Puzzles, etc.). Além de serem jogos fáceis de se entender, com gráficos muito simples, todos eles compartilham outra característica. Uma característica oculta. Quando um usuário baixa um desses jogos, ele ganha também um pequeno brinde...

block-puzzle-game-1block-puzzle-game-2

 

 

 

 

 

 

Com um pé na porta...

Após baixar e instalar um desses apps na Play Store, o usuário pode começar a se divertir com um desses jogos simples de blocos, como estava esperando. No entanto, enquanto o usuário joga, o app inicia uma contagem regressiva. Após algum tempo de jogo, ele é interrompido por uma janela de alerta do sistema.

O que o usuário não sabe é que o jogo contém malware, que tentará convencê-lo a baixar uma “atualização”, que, na verdade, não é nada disso. Na verdade, é um novo app disfarçado de atualização e que contém um malware que pode afetar o sistema do usuário de muitas maneiras.

Como os cibercriminosos conseguem instalar uma atualização falsa?

O falso alerta do sistema e a solicitação da atualização falsa, que vem logo depois, aparecem na tela. O app tenta fazer com que o usuário acredite que, enquanto ele está jogando, o Google Play Games decidiu verificar se havia atualizações, encontrou uma e quer agora instalá-la. Nesse caso, o usuário deve notar o comportamento suspeito: o jogo é fechado sem nenhum aviso e não há opção de descartar o alerta do sistema e instalar a atualização (falsa) mais tarde.

google-play-updates-3system-update-required-4

 

 

 

 

 

 

 

 

      Não é possível fechar a janela                            Apresentado como “atualização”,
           de alerta de atualização
                                     mas se trata de um app falso

Os desenvolvedores sabem que nos acostumamos com frequentes atualizações de app. Nós vemos isso em nosso telefone o tempo todo. Todos os dias, você faz pelo menos uma ou duas, e elas sempre funcionam da mesma forma: há uma atualização, você confirma a instalação, ela é baixada em segundo plano e instalada. Se tudo der certo, sua interação com o app atualizado será interrompida apenas por alguns segundos, pois os VERDADEIROS desenvolvedores querem isso assim mesmo.

Os desenvolvedores de apps FALSOS tiram proveito disso e tentam usar o processo de “atualização” para colocar o seu malware dentro do telefone sem alarmar o usuário. Também há uma boa chance de que a carga de malware instalada não será notada por semanas ou até mesmo meses.

Outra abordagem é assustar o usuário. Se eles precisarem decidir, sob pressão, entre salvar dados preciosos do telefone ou correr o risco de vê-los desaparecer em 16 segundos, eles podem muito bem instalar a atualização falsa, para se arrependerem no futuro. Quando a pressão termina, o usuário pode questionar a decisão. Uma pesquisa rápida no Google sobre os sintomas do que o telefone está exibindo mostrará que algo maligno aconteceu de fato com o dispositivo.

Assustar o usuário é fácil, mas entrar pela porta da frente disfarçado de entregador com um pacote que o usuário está acostumado a receber todos os dias é muito inteligente. O único requisito é que o app que está tentando infiltrar a carga como atualização no telefone do usuário precisa imitar a interface do verdadeiro app no telefone.

A decisão mais importante que o desenvolvedor precisa tomar para se infiltrar no telefone do usuário, sem que ele perceba nada de errado, é escolher o app certo para “atualizar”. Geralmente é um app que já vem instalado em todos os dispositivos Android (Google Play Games, YouTube, Hangouts, Maps) ou um app muito usado na região alvo (Facebook, WhatsApp, Messenger). Evitar os apps do sistema e apps que usam designs de ícone personalizado em diferentes versões e GUIs (câmera, calculadora, relógio, galeria) é uma ação segura, mas mesmo esses podem ser aproveitados se o usuário não prestar atenção.

Como determinar se você instalou um app falso

Se quiser ter certeza de que não instalou uma atualização falsa, você pode verificar a sua lista de apps nas Configurações do telefone. Se você vir um nome de app seguido por outro app do mesmo nome, com “Atualização” acrescentado ao seu título, provavelmente é um app falso: não instale.

google-play-updates-fake-screen-5google-play-updates-app-info-6

 

 

 

 

 

 

 

 

   Lista de apps no telefone Android                                       App falso (Update)

Atualize seus apps com segurança

Se houver uma verdadeira atualização do app disponível na Google Play, você deveria ver:

  • Uma notificação do app Google Play que pode ser aceita ou não, ou
  • Uma notificação no app que informa que uma nova versão está disponível na própria Google Play.

Interromper a interação do usuário enquanto ele está em outro app sem nenhuma opção de descartar o alerta de atualização não é o protocolo padrão e deve servir sempre como um sinal de alerta.

Se o alerta contiver muitos pontos de exclamação, avisos e ameaças ao seu dispositivo (“Instale essa atualização crítica de sistema para evitar a explosão da sua bateria!”, ou uma contagem regressiva que informa que os dados do telefone serão perdidos (“Seu SIM está corrompido e todos os dados serão perdidos em 54 segundos”), não instale essa “atualização”.

Apps nunca instalam um app de atualização autônomo para acrescentar novos recursos ou correções de problemas. Se fosse assim, depois de alguns meses, seu telefone teria centenas de apps WhatsApp Update Update Update.

Se tiver dúvidas sobre uma atualização, acesse o Google Play Store em seu dispositivo e verifique manualmente se existem atualizações. Se o app foi baixado do Google Play Store, as atualizações também vão ser distribuídas por ali. Mais importante, a versão atualizada substituirá a versão atual.

google-play-updates-7youtube-update-8

 

 

 

 

 

 

 

     

    

    Tela de atualizações no Android                             Exemplo de tela de atualização
                                                                                                  de um app legítimo

Um alerta no app não deverá forçá-lo a atualizar imediatamente, mostrando o mesmo diálogo a cada minuto e, com certeza, não deverá impedi-lo de fechá-lo.

No momento, todo esse trabalho é por alguns anúncios...

Esses jogos de blocos e suas atualizações falsas estavam coletando informações pessoais e de localização do telefone do usuário e enviando a um servidor remoto. Muitos apps usam estruturas e redes de publicidade que criam perfil do usuário para oferecer anúncios direcionados, o que em si não é errado, desde que o usuário consinta. Um app legítimo nunca contornará permissões e consultará serviços de localização baseados em IP, que é o que esses jogos fazem.

O pior delito desses jogos é sua capacidade de baixar código maligno de um servidor remoto e executá-lo no dispositivo. Essa capacidade abre a porta para mais exploração do dispositivo. No caso desses jogos, a carga maligna inunda você com anúncios. Mas essa carga pode mudar a qualquer momento, por exemplo, quando esse modelo de monetização se tornar menos eficaz para o desenvolvedor. Se o servidor remoto for comprometido, o app pode na verdade se atualizar e se tornar um malware de criptomineração ou ransomware no futuro.

O que começa como uma simples diversão para gastar alguns minutos pode se transformar em um bloqueio completo do dispositivo, afetando você por muito mais que alguns minutos. Por enquanto, esqueça dos jogos de blocos ou use o Avast Mobile Security para se proteger automaticamente e em tempo real.

Baixe o Avast Mobile Security