Symantec identifica malware escondido em aplicativos do Google Play

38 aplicações escondem sua presença em dispositivos enquanto executam ações maliciosas

image001A Symantec, empresa líder no mercado de segurança da informação, encontrou 38 aplicações maliciosas disfarçadas como aplicativos educativos e de jogos.

Para esconder a presença nos dispositivos, eles removem os ícones da tela e redirecionam as vítimas a instalar outro aplicativo da Google Play Store, que mostra propagandas e não tem função adicional.

Além disso, esses aplicativos carregam diversas URLs de blogs em segundo plano sem que o usuário tenha conhecimento.

O aplicativo malicioso – detectado como Android.Reputation.1, foi publicado na Play Store em dezembro de 2017 por um desenvolvedor chamado learningdevelopment, com o e-mail [email protected].

Os aplicativos se definem como educativos ou jogos, de acordo com os nomes no Google Play.

O comportamento dessas aplicações é semelhante, como o do Aladdin and the Ancient Magic Lamp:

image002

A imagem acima mostra o nome do aplicativo em árabe

Quando o aplicativo é instalado no dispositivo, aparece com o nome falso de “Helper”:

Uma vez iniciado, ele ativa automaticamente a API setComponentEnabledSettings para que seu ícone seja removido enquanto o aplicativo continua rodando em segundo plano. Apesar de não disponibilizar as funções que promete, o app redireciona as vítimas para instalar outro aplicativo na Play Store, o “Change my voice”, desenvolvido pela TopTech, que apesar de ter a função de alterar vozes gravadas, também exibe muitas propagandas.

Enquanto está escondido, o aplicativo malicioso tem um serviço em segundo plano que checa constantemente a conectividade de rede do dispositivo. Uma vez conectado, o app checa se o aparelho tem instalado este ou algum dos 37 aplicativos maliciosos mencionados anteriormente. Se nenhum deles estiver presente, ele então carrega diversas URLs de blogs em segundo plano. A hipótese é que o objetivo desse malware seja aumentar o tráfego desses sites.

A maioria dos usuários que baixaram esses apps aparentemente estão localizados nos Estados Unidos, Reino Unido, África do Sul, Japão, Egito, Alemanha, Holanda e Suécia. A presença do aplicativo na Google Play Store e os nomes aparentemente legítimos fizeram com que eles fossem baixados em pelo menos 10 mil dispositivos. A Symantec já notificou o Google sobre o problema, os aplicativos já foram removidos da Play Store.

Para se proteger deste tipo de ameaça, é importante:

  • Mantenha o software do seu dispositivo atualizado;
  • Baixe aplicativos apenas de sites confiáveis;
  • Preste atenção nas permissões que o aplicativo requere ao ser baixado;
  • Instale um antivírus para proteger seu dispositivos e dados;
  • Faça backup frequente dos dados importantes.
Package name
com.aladdinandtheancientmagiclamp.aladdingames
com.azkarmorning.azkarevening
com.gamebilliards.games
com.gamegirls.playgirlsgames
com.pianogame.playgames
com.generalcultures.games
com.yourselfcultures.games
com.multiplicationtablegame.games
com.gamesession.jalsah
com.gameprotectorshome.hama
com.alightgameonthemachine.games
com.gamefivenightsatfreddyrestaurant.games
com.policesounds.kids
com.sewinggames.play
com.chessgamewithoutnet.games
com.subway.playgames
com.sarahah.frankly
com.dominoes.playgames
com.gamescars.playarabies
com.playclosely.games
com.gumball.gambolgames
com.washingmachines.games
com.playsubmarine.subgames
com.fontsabc.lines
com.gameschicks.chickens
com.thearabs.vathel
com.playgames.trains
com.cuttherope.games
com.gameplayed.bytwo
com.yogiduelmonsterswithoutnetin.arabic
com.playgames.yogi
com.books.juices
com.photos.bestimages
com.romanticpictures.lovephotos
com.oldgames.saladin
com.imagesphotos.cars
com.masterstroke.teachers
com.cup.reading

Lista dos 38 aplicativos maliciosos

Sobre o Autor