Informagno | Gestão em TI

Malware disfarçado de proteção antivírus

Em quase todas as publicações sobre o Android, recomendamos instalar aplicativos apenas de fontes oficiais, e isso não mudará tão cedo. Um exemplo recente reforça nossos motivos: os golpistas estavam espalhando um Trojan bancário disfarçado de reprodutores de mídia populares, um aplicativo para atividades físicas, um leitor de livros e um que surpreendeu pela audácia, o Kaspersky Internet Security para Android.

Por que é perigoso instalar aplicativos de fontes não oficiais

Não há nada de errado com os mercados de aplicativos de terceiros em si, mas ninguém pode saber com certeza se uma determinada loja é confiável. Nas oficiais para aplicações Android, seja Google Play ou Huawei AppGallery, colaboradores das respectivas empresas proprietárias examinam todos os aplicativos enviados pelos desenvolvedores, eliminando aqueles que são claramente maliciosos. Essas são grandes empresas que protegem sua reputação e a segurança dos clientes e têm os recursos e a motivação para ajudar a manter os usuários livres de malware.

Às vezes, no entanto, o malware consegue passar e até entrar na Google Play, embora as chances de encontrá-lo lá sejam muito menores do que em fóruns, rastreadores de torrent ou alguns outros sites. Mercados orgulhosamente pequenos e independentes tendem a não executar muitas verificações de segurança, normalmente porque não têm os recursos e, como resultado, os aplicativos que hospedam podem ser qualquer coisa disfarçada, até mesmo um Trojan.

Devemos mencionar aqui que baixar malware em um dispositivo Android geralmente não é suficiente para infectá-lo. A menos que o malware dependa de algum tipo de 0-day uber-exploit para obter permissões de superusuário, instalar um aplicativo perigoso no Android requer algum esforço. O sistema operacional consulta o usuário sobre cada etapa: se ele realmente deseja instalar o aplicativo, se concorda em conceder a ele as permissões solicitadas e assim por diante. Os cibercriminosos empregam engenharia social para persuadir as pessoas a dizer sim, geralmente com grande sucesso.

Segurança maliciosa vinda de um mercado alternativo

Eis um exemplo. Não muito tempo atrás, um grupo de pesquisadores relatou aplicativos Android se espalhando por vários sites falsos. Os aplicativos incluíam uma versão falsa do Kaspersky Internet Security para Android.

Os golpistas estavam espalhando seu aplicativo falso com o nome “Kaspersky Free Antivirus” (costumávamos oferecer um produto com esse nome, mas era para Windows). Na Google Play, nosso antivírus mobile atual é chamado de Kaspersky Mobile Antivirus: Applock & Web Security.

Ironicamente, os usuários que baixaram o aplicativo antivírus falso receberam um Trojan bancário conhecido como TeaBot, que nossos produtos de segurança detectam como HEUR: Trojan-Banker.AndroidOS.Teaban ou HEUR: Trojan-Banker.AndroidOS.Regon.

Por que isso é especialmente problemático no caso de aplicativos antivírus? Devido ao fato do usuário não apenas baixar e instalar um Trojan bancário disfarçado como este, mas também conceder a ele todas as permissões solicitadas. Afinal, um aplicativo antivírus autêntico precisa de muitas concessões de acesso, incluindo autorizações muito específicas, como serviços de acessibilidade.

E o pior, na ausência de proteção antivírus real, o dispositivo não consegue detectar o malware.

Concluir a instalação e conceder todas as permissões solicitadas dá ao Trojan TeaBot a capacidade de fazer quase tudo no Android. Seus recursos são muitos: desde keylogging, roubo de códigos do Google Authenticator e exploração de acessibilidade de outras maneiras até obter controle remoto total do dispositivo.

Como ter certeza de que um aplicativo é legítimo

Antivírus não é o único disfarce do TeaBot. O malware também está disponível como versões falsas de alguns aplicativos conhecidos do governo, financeiro, de condicionamento físico, de leitura, entre outros. Para ficar seguro, desative a funcionalidade do seu smartphone de instalar aplicativos de fontes desconhecidas completamente – o Android permite isso. E se você precisar de um aplicativo de qualquer tipo, encontre-o em um mercado oficial.

Tenha muito cuidado também com as permissões que você concede aos aplicativos. Se uma aplicação de condicionamento físico inesperadamente solicitar permissão para usar Acessibilidade, por exemplo, pense duas vezes (ou mais) antes de responder.

Finalmente, certifique-se de usar a proteção antivírus autêntica . Com uma edição totalmente gratuita do Kaspersky Internet Security para Android disponível, não há razão para baixá-lo de fontes não oficiais. Você pode encontrar nosso aplicativo antivírus no Google Play e no Huawei AppGallery.

Fonte: Kaspersky