Google explicou como malware para Android entra na Play Store

Recentemente o Google explicou como malware para Android entra na Play Store. Confira os detalhes dessa explicação.

A equipe de segurança do Google Cloud reconheceu uma tática comum conhecida como controle de versão usada por agentes mal-intencionados para inserir malware em dispositivos Android depois de escapar do processo de revisão e dos controles de segurança da Google Play Store.

Google explicou como malware para Android entra na Play Store

Google explicou como malware para Android entra na Play Store
Google explicou como malware para Android entra na Play Store

A técnica funciona introduzindo as cargas maliciosas por meio de atualizações entregues a aplicativos já instalados ou carregando o código malicioso de servidores sob o controle dos atores da ameaça no que é conhecido como carregamento dinâmico de código (dynamic code loading, ou DCL).

Isso permite que os agentes de ameaças implantem suas cargas úteis como código nativo, Dalvik ou JavaScript em dispositivos Android contornando as verificações de análise estática da loja de aplicativos.

“Uma maneira de agentes mal-intencionados tentarem contornar os controles de segurança do Google Play é por meio do controle de versão”, diz a empresa no relatório de tendências de ameaças deste ano.

“O controle de versão ocorre quando um desenvolvedor lança uma versão inicial de um aplicativo na Google Play Store que parece legítimo e passa em nossas verificações, mas depois recebe uma atualização de um servidor de terceiros alterando o código no dispositivo do usuário final que permite atividades maliciosas.”

Embora o Google diga que todos os aplicativos e patches enviados para inclusão na Play Store passam por uma triagem rigorosa de PHA (aplicativo potencialmente prejudicial), “alguns desses controles” são ignorados pelo DCL.

Os controles de segurança da Play Store ignoram o controle de versão (DCL)
Os controles de segurança da Play Store ignoram o controle de versão (Google)
O Google explicou que os aplicativos encontrados envolvidos em tais atividades violam a política de comportamento enganoso do Google Play e podem ser rotulados como backdoors.

De acordo com as diretrizes do Play Policy Center da empresa, os aplicativos distribuídos por meio do Google Play são explicitamente impedidos de alterar, substituir ou atualizar-se por qualquer meio que não seja o mecanismo de atualização oficial fornecido pelo Google Play.

Além disso, os aplicativos são estritamente proibidos de baixar código executável (como arquivos dex, JAR ou .so0 de fontes externas para a Android App Store oficial.

O Google também destacou uma variante específica de malware chamada SharkBot, detectada pela primeira vez pela equipe de inteligência de ameaças de Cleafy em outubro de 2021 e conhecida por utilizar essa técnica na natureza.

O SharkBot é um malware bancário que fará transferências de dinheiro não autorizadas por meio do protocolo Automated Transfer Service (ATS) após comprometer um dispositivo Android.

Para evitar a detecção pelos sistemas da Play Store, os agentes de ameaças responsáveis pelo SharkBot adotaram a estratégia agora comum de lançar versões com funcionalidade limitada no Google Play, ocultando a natureza suspeita de seus aplicativos.

No entanto, quando o usuário baixa o aplicativo trojanizado, ele baixa a versão completa do malware.

O Sharkbot foi camuflado como software antivírus Android e vários utilitários do sistema e infectou com sucesso milhares de usuários por meio de aplicativos que passaram nas verificações de submissão da Google Play Store quanto a comportamento malicioso.

O repórter de segurança cibernética Brian Krebs também destacou o uso de uma técnica de ofuscação de malware móvel diferente para o mesmo propósito, recentemente revelada pelos pesquisadores de segurança do ThreatFabric.

Esse método efetivamente quebra as ferramentas de análise de aplicativos do Google, impedindo-as de verificar APKs maliciosos (pacotes de aplicativos Android).

Como resultado, esses APKs nocivos podem ser instalados com êxito nos dispositivos dos usuários, apesar de serem rotulados como inválidos.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.