Os criadores de malwares para mobiles tentam mais uma vez contornar as detecções dos antivírus usando sandboxes e aplicativos virtuais.
Recentemente, nos deparamos com um malware para mobiles que usava uma sandbox, da mesma forma que outro malware havia roubava as credenciais do Twitter através do VirtualApp. Nós suspeitamos que os cibercriminosos estavam mais uma vez usando uma sandbox para tentar evitar a detecção pelos antivírus.
O malware, conhecido como Triada (nome do pacote com.android.adapi ), foi descoberto na China em meados de 2016, e usa uma sandbox de código aberto, a DroidPlugin, que carrega e executa dinamicamente um aplicativo, isto é, sem realmente instalar o aplicativo, assim como fazia VirtualApp. O Triada usa a DroidPlugin, que foi originalmente desenvolvida pela Qihoo para a sua loja de aplicativos Android, para carregar plugins maliciosos que podiam ser executados sem necessidade de ser instalados. Essas técnicas tornam ainda mais difícil a detecção dos malwares pelos antivírus. O projeto DroidPlugin é de código aberto e gratuito e pode ser encontrado no GitHub.
A Triada é espalhada por táticas de engenharia social que enganam as pessoas e as fazem baixar o malware. Uma vez no dispositivo, ele se esconde no telefone e começa a roubar informações pessoais em segundo plano, sem que as pessoas suspeitem que seus dados estão sendo enviados para os cibercriminosos.
Mas por que eles usam uma sandbox para executar os plugins maliciosos? Simplesmente para evitar a detecção pelos antivírus, pois o aplicativo hospedeiro não está, em si, infectado.
Só um bom aplicativo antivírus consegue detectar esse tipo de infecção. A Avast o chamou de Android: Agent-MOK.
Hash SHA-1: e2b05c8fdf3b82660f7ab378e14b8feab81417f0
