Os especialistas da Kaspersky descobriram um malware – MobOk – que rouba dinheiro e que se esconde em aplicações de edição de fotografia legítimas disponíveis na Google Play store. No momento de deteção verificou-se que as aplicações “Pink Camera” e “Pink Camera 2” já tinham sido instaladas cerca de 10.000 vezes. As aplicações foram desenhadas para roubar informações pessoais das vítimas e utilizadas para a subscrição de serviços pagos. As vítimas, por sua vez, só davam conta de que estavam a ser enganadas quando viam estes valores nas contas dos seus telemóveis. As aplicações já foram removidas da Google Play e já não estão disponíveis.

O malware MobOk é um backdoor e é um dos tipos de malware mais perigoso, já que oferece ao hacker a possibilidade de um controlo quase total do dispositivo infetado. Apesar de os conteúdos da Google Play serem filtrados, esta não é a primeira vez que os dispositivos dos utilizadores são alvo de ameaças. Em alguns casos, os backdoors estão escondidos através de aplicações semi funcionais que, à primeira vista, parecem ser versões mais pobres de aplicações legítimas. Foi por esse motivo que aplicações como a Pink Camera não levantaram suspeitas, já que incluíam funcionalidades de edição de fotografia genuínas e o seu download estava a ser feito diretamente de uma Google Play store de confiança.

Contudo, assim que os utilizadores começavam a editar fotografias através das aplicações Pink Camera, estas pediam acesso às notificações e era a partir daí que se dava início à atividade maliciosa no background. O objetivo desta atividade era fazer com que o utilizador pagasse pela subscrição de serviços móveis. Geralmente, este processo parece-se com páginas web que oferecem um serviço em troca de um pagamento diário que depois é cobrado na conta do telemóvel. Este modelo de pagamento foi originalmente desenvolvido por uma rede de operadores de mobile para facilitar os utilizadores a subscreverem os seus serviços premium; atualmente é muitas vezes utilizado como forma de ciberataque.

Uma vez que o dispositivo da vítima estivesse infetado, o malware MobOk recolhia toda a informação do dispositivo como por exemplo o número associado, de forma a tirar partido dessa informação noutros estágios do ataque. De seguida os hackers enviavam para o dispositivo já infetado detalhes de páginas web com serviços de subscrições pagas e o malware abria-os, atuando como um background browser secreto. Utilizando o número de telemóvel extraído previamente, o malware inseria-o no campo “subscrever” e conseguia confirmar a compra. Uma vez que tinha controlo total do dispositivo e conseguia verificar as notificações, o malware conseguia também aceder ao código de confirmação enviado por SMS quando o mesmo chegava – tudo isto sem o utilizador se dar conta do que estava a acontecer. A vítima começava a suportar custos e continuaria a fazê-lo até ao momento em que identificaria pagamentos na sua conta de telefone e cancelasse então a assinatura do serviço.

A capacidade de edição de fotografia do “The Pink Cameras” não era impressionante, mas o que a aplicação conseguia fazer teve um grande impacto: fazer com que os utilizadores subscrevessem a serviços em russo, inglês e tailandês que lhes roubavam dinheiro, monitorizavam SMS e pediam o reconhecimento a partir de testes Captcha – o código que confirma que o utilizador não é um robot – a partir de serviços online. Isto significa que também havia potencial para o roubo de dinheiro das contas bancárias das vítimas. A nossa teoria é a de que os hackers por trás destas aplicações criaram ambas subscrições de serviços, nem todas genuínas, bem como o malware que chegou até aos assinantes, projetando-o para atingir um público internacional,” comenta Igor Golovin, Investigador de Segurança na Kaspersky.

A Kaspersky detetou o malware MobOk como HEUR:Trojan.AndroidOS.MobOk.a

Para evitar ser vítima de aplicações maliciosas, os investigadores da Kaspersky recomendam:

  • Lembrar que mesmo uma fonte fidedigna, como uma app store oficial, podem ter aplicações perigosas. Estar sempre alerta e verificar sempre as permissões das aplicações para confirmar tudo o que se está a permitir a que as aplicações instaladas acedam. Verificar as classificações e reviews em stores oficiais, como a Google Play ou a App Store. As aplicações maliciosas podem por vezes receber classificações baixas e os próprios consumidores poderão fazer comentários de alerta sobre risco de malware em caso de instalação da aplicação – prestar atenção extra aos pedidos de permissão.
  • Instalar os updates do sistema e da aplicação assim que os mesmos estejam disponíveis – corrigem vulnerabilidades e mantém os dispositivos protegidos.
  • Utilizar uma solução de segurança fiável para uma proteção abrangente contra um grande conjunto de possíveis ameaças como o Kaspersky Security Cloud.

 

Relatório completo disponível na Securelist.

Classifique este item
(0 votos)
Ler 430 vezes
Tagged em

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico. Saiba mais.

Wintech TV

Newsletter

Receba as notícias no seu e-mail

Top