Cibercriminosos usam Darknet para vender apps maliciosos na Google Play por até US$ 20 mil

Os especialistas da Kaspersky analisaram ofertas de apps para a Google Play na Darknet e descobriram a existência de programas para celular maliciosos e contas de desenvolvedores que estão à venda por até US$ 20 mil. Usando a plataforma Kaspersky Digital Footprint Intelligence, os pesquisadores coletaram amostras de compra e venda de malware em nove fóruns diferentes da darknet. O relatório mostra como essas ameaças oferecidas na darknet aparecem na Google Play e detalha a disponibilidade, faixa de preços, recursos de comunicação e acordos entre cibercriminosos na comercialização desses programas fraudulentos.

Apesar dos rigorosos processos de validação nas lojas oficiais de aplicativos, a moderação nem sempre consegue identificar e remover aplicativos maliciosos antes deles serem publicados. A cada ano, muitos malware só são removidos da Google Play após infectar vítimas. Com esta brecha de oportunidade, os cibercriminosos se reuniram na darknet – um espaço clandestino na internet com suas próprias regras, preços de mercado e instituições reputacionais – para comprar e vender aplicativos fraudulentos para a loja Google com funções adicionais para melhorar e, inclusive, promover suas criações.

Assim como os mercadões legais comercializam diferentes mercadorias, há várias ofertas na darknet para atender todos os tipos de necessidades e clientes – e com diferentes orçamentos. Por exemplo, para publicar um app malicioso, os cibercriminosos precisam de uma conta da Google Play e um código malicioso para download (Google Play Loader). Uma conta de desenvolvedor pode ser comprada com pouco dinheiro, o preço médio é de US$ 200, mas às vezes pode-se encontrá-la por US$ 60. O custo dos carregadores maliciosos varia entre US$ 2 mil e US$ 20 mil, dependendo da complexidade do malware, se há novidades e prevalência do código malicioso, bem como se há necessidade de funções adicionais.

Entre esses criminosos, a recomendação mais comum é a de esconder a distribuição de malware usando o disfarce de apps para rastreamento de criptomoedas, app financeiros, escaneadores de QR code ou apps de namoro/encontro. Para mostrar o potencial de vítimas que esse esquema oferece, os golpistas mostram a quantidade de downloads que as versões reais desses apps apresentam na loja oficial. De modo geral, esses exemplos mostram 5 mil downloads ou mais.

A investigação mostra ainda que, por uma taxa adicional, os cibercriminosos ofuscam o código no aplicativo para tornar sua detecção pelos programas antivírus mais difícil. Para aumentar o número de downloads de um aplicativo malicioso, muitos atacantes também oferecem a compra de campanhas de instalações – como anúncios Google para direcionar tráfego para o app falso e aumentar as chances de ele ser baixado e instalado. Essas campanhas têm preços diferentes em cada país, porém o custo médio é de US$ 0,50 por download, com ofertas variando de US$ 0,10 a alguns dólares. Em uma das ofertas descobertas, os anúncios para usuários nos EUA e Austrália custavam, no máximo, US$ 0,80.

Os serviços são oferecidos pelos fraudadores em três modelos: participação no lucro final, aluguel e compra completa de uma conta ou malware. Alguns vendedores até realizam leilões de comprar dos seus produtos, já que muitos deles limitam o número de compradores. Por exemplo, em um leilão analisado pelos especialistas da Kaspersky, a oferta inicial era de US$ 1.500, com lances adicionais de US$ 700, enquanto a blitz - compra instantânea pelo preço mais alto - foi de US$ 7.000.

Os vendedores na darknet também oferecem a publicação do programa malicioso para o comprador, e, assim, evitam a interação da gangue com a Google Play – isso sem impedir o recebimento remoto dos dados referente às vítimas do golpe. Este método pode parecer arriscado para os compradores, mas os desenvolvedores de malware que vendem seus serviços na darknet priorizam a preservação e manutenção sua reputação, prometendo garantias para o acordo ou aceitar o pagamento da compra apenas após o cumprimento dos termos. A análise da Kaspersky mostra ainda que, para reduzir os riscos ao fazer esses negócios ilegais, os cibercriminosos muitas vezes recorrem a intermediários, como plataformas de pagamento (pague, receba e confirme para a liberação do pagamento) ou uma pessoa  neutra que não tenha interessado nos resultados do golpe.

"Os aplicativos móveis maliciosos são um dos principais golpes online, com mais de 1,6 milhão de ataques móveis bloqueados em 2022. Por outro lado, as proteções para evitá-los também está aumentando e os golpistas já comentam sobre a dificuldade de conseguir publicar apps maliciosos nas lojas oficiais. Frente a esse contexto, acreditamos que novos esquemas de fraude serão criados, e eles serão cada vez mais sofisticados. Por isso, as pessoas precisam ficar atentas e devem verificar com cuidadosamente quais apps são baixando", explica Alisa Kulishenko, especialista em segurança da Kaspersky.

Para saber mais sobre a investigação da Kaspersky sobre ameaças para a Google Play vendidas na darknet, acesse o relatório completo em Securelist.

Para se proteger de golpes para celular ou tablets, a Kaspersky recomenda:

• Revise periodicamente as permissões dos app instalados no celular e avalie cuidadosamente antes de instalar novos programas, especialmente quando se trata de autorizações sensíveis, como o uso dos serviços de acessibilidade. Por exemplo, a única permissão que uma lanterna precisa ter é o acesso à lanterna – e isso não inclui o  acesso à câmera. 
• Instale um antivírus confiável para detectar e remover tentativas de instalação de malware no celular.  
• Proprietários de iPhones contam com alguns controles de privacidade fornecidos pela Apple e podem bloquear o acesso de aplicativo a fotos, contatos e o GPS. 
• Atualize sempre o sistema operacional e os aplicativos do celular. Muitas infecções podem ser impedidas ao essas correções. 

Para mais informações sobre serviços de monitoramento de ameaças para empresas, entre em contato pelo e-mail dfi@kaspersky.com.

Sobre a Kaspersky

A Kaspersky é uma empresa internacional de cibersegurança e privacidade digital fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 240.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais em nosso site.