Byron Acohido conversa com Nikolaos Chrysaidos, chefe da Inteligência de Ameaças e segurança mobile do Laboratório de Ameaças da Avast.
Aconselha-se aos usuários do Android (e eu sou um deles) a ficarem sempre atentos aos tipos de ameaças virtuais dirigidas ao sistema operacional de dispositivos móveis mais popular do mundo.
Os ataques não vão parar tão cedo e a conscientização ajudará você a não ser a próxima vítima. Vale a pena acompanhar as notícias sobre ações defensivas que o Google é obrigado a tomar para proteger os usuários do Android. Recentemente, por exemplo, a gigante das buscas removeu 50 apps maliciosos, instalados 30 milhões de vezes, da Google Play Store oficial, incluindo apps de fitness, edição de fotos e jogos.
No início deste ano foi revelado que os três populares “apps de embelezamento de selfies”, Pro Selfie Beauty Camera, Selfie Beauty Camera Pro e Pretty Beauty Camera 2019, acessíveis na Google Play Store, são ferramentas para espalhar adwares e spywares. Cada app foi instalado pelo menos 500.000 vezes, Pretty Beauty Camera 2019 com mais de 1 milhão de instalações.
Detalhes informativos sobre essas duas campanhas maliciosas vêm de analistas de malwares trabalham na apklab.io, lançada oficialmente em fevereiro. A apklab.io é a plataforma de inteligência contra ameaças mobile da Avast, desenvolvida para compartilhar informações coletadas através da análise de amostras coletadas de 145 milhões de dispositivos móveis Android em uso em todo o mundo.
Tive a oportunidade de conversar com Nikolaos Chrysaidos (foto), Chefe de Inteligência de Ameaças e Segurança Mobile na Avast, para analisar o contexto mais amplo dos resultados úteis que a apklabl.io começou a oferecer. Aqui estão alguns trechos da nossa conversa, que foram editados para ficarem mais claros e concisos:
Acohido: Qual foi o diferencial dos 50 apps maliciosos para Android que os seus analistas descobriram recentemente?
Chrysaidos: Os números variam de 5.000 a 5 milhões de instalações e incluem adwares exibindo persistentemente os anúncios em tela cheia e, em alguns casos, tentam convencer o usuário a instalar outros apps. Os apps com adwares foram interligados pelo uso de bibliotecas Android de terceiros que ignoram as restrições de execução de serviço em segundo plano, que estão presentes apenas nas versões mais recentes do Android.
O ignorar não é explicitamente proibido na Play Store. No entanto, nossos analistas conseguiram detectá-los porque os apps que usam essas bibliotecas gastam a bateria do usuário e tornam o dispositivo mais lento. Neste caso, as bibliotecas continuavam exibindo cada vez mais anúncios, o que viola as regras da Google Play Store.
Acohido: Você pode nos dizer um pouco mais sobre os “apps de embelezamento de selfies” contaminados?
Chrysaidos: Os apps dizem que modificam a aparência das pessoas nas selfies. Na verdade, eles são, antes de tudo, veículos de entrega de adwares desenvolvidos para exibir anúncios agressivamente e instalar spywares. Adwares são anúncios indesejados que redirecionam para páginas da web suspeitas e os spywares coletam seus dados.
Grande parte dessa atividade é monetizada, de uma forma ou outra, por meio de um ecossistema bilionário de fraudes de cliques, que, basicamente, enganam os anunciantes para que paguem por cliques que valem pouco ou nada. As pessoas por trás do app lucram com os anúncios exibidos para os usuários. Para cada anúncio exibido, os agentes mal-intencionados ganham dinheiro dos anunciantes.
Acohido: Quais foram alguns dos recursos avançados que os seus analistas descobriram?
Chrysaidos: É difícil remover estes apps, já que seus ícones geralmente não ficam exibidos na tela inicial do Android, o que impossibilita o uso da função “arrastar e soltar” na lixeira para excluí-lo. Isso dificulta que os usuários excluam o app, então os cibercriminosos podem exibir mais anúncios e ganhar mais dinheiro.
Os apps verificam os seguintes launchers: Apex, HTC Sense, 360 Launcher, QQ Launcher, Huawei, OPPO, LG, Samsung e mais alguns. Ao encontrar um desses launchers, ele desinstala o seu próprio ícone de app.
Além de exibir anúncios, os apps também podem fazer chamadas telefônicas e gravá-las, alterar o estado da rede, exibir por cima de outros aplicativos, ler o armazenamento externo do dispositivo e muito mais.
Acohido: Como vocês conseguiram estes dados informativos?
Chrysaidos: Coletamos amostras de arquivos de nossos parceiros, clientes de AV mobile, bem como de terceiros e inserimos estas amostras para o apklab.io, nossa plataforma de inteligência contra ameaças mobile. Classificamos e categorizamos automaticamente cada tipo de malware. Se uma amostra for suspeita, ela será processada por nossa ferramenta de análise estática personalizada interna e o sandbox de análise dinâmica.
Nosso objetivo é detectar e erradicar as ameaças mobile. As amostras de malware que isolamos ficam para sempre no banco de dados da aklab.io, para ajudar a resolver futuras iterações de malware. Atualmente, temos quase 6,5 milhões de amostras no banco de dados.
Acohido: Como as ameaças mobile mudaram nos últimos anos?
Chrysaidos: Há alguns anos, além dos adwares e spywares, que evoluem constantemente, os cibercriminosos tentaram gerar receita com o bloqueio do dispositivo móvel e intimidar o usuário para que pagasse um resgate para desbloqueá-lo. Esse tipo de malware é chamado de ransomware. Os ransomwares evoluíram para criptomineração, onde o dispositivo é usado sem o conhecimento do usuário para minerar moedas digitais, que são enviadas ao cibercriminoso. Isso aconteceu porque o valor da maioria das criptomoedas aumentou nos últimos tempos.
Juntamente com os criptomineradores e ransomwares, eles testaram e desenvolveram mais uma categoria de malware: o cavalo de Troia bancário. Os malwares bancários se concentram em roubar credenciais bancárias e dados de cartão de crédito de usuários de dispositivos móveis. Os cavalos de Troia bancários evoluíram muito ao longo do ano passado, usando técnicas de criptomineração e ransomware para iniciar a nova era do malware móvel híbrido.
Acohido: Quais são suas expectativas sobre a evolução de ameaças mobile ao longo dos próximos dois anos?
Chrysaidos: Os cibercriminosos vão continuar tentando a invadir a Google Play Store e fazer upload de malwares. Os malwares bancários vão continuar a ser uma tendência, já que é um caminho muito bom para que os cibercriminosos ganhem dinheiro.
Assista no vídeo abaixo, Gagan Singh, vice-presidente sênior da Avast e gerente geral para Mobile, falar sobre o funcionamento de cavalos de Troia bancários em smartphones: