É comum encontrar todos os tipos de malware escondidos no que parecem ser aplicativos inofensivos nas lojas oficiais como na Google Play. Infelizmente, mesmo que a plataforma seja analisada com cuidado, os moderadores nem sempre conseguem pegar esses aplicativos antes de serem publicados. Uma das variações mais populares desse tipo de malware é o Trojan de assinaturas, que inscreve a vítima em serviços pagos sem autorização. Já escrevemos sobre as famílias mais comuns desse tipo de Trojans. Hoje, nosso objetivo é falar de outro. É semelhante ao Jocker – é por isso que é chamado de Harly, o nome (ligeiramente alterado) da parceira de um conhecido vilão de quadrinhos. Os dois Trojan provavelmente têm a mesma origem.
O desonesto Trojan Harly
Desde 2020, mais de 190 aplicativos infectados com o Harly foram encontrados na Google Play. Uma estimativa conservadora do número de downloads desses aplicativos é de 4.8 milhões, mas o número real pode ser ainda maior.
Assim como o Trojan Jocker, os Trojans da família Harly imitam aplicativos legítimos. Então, como funciona? Os golpistas baixam aplicativos comuns do Google Play, escondem neles códigos maliciosos e depois os enviam para a Google Play com um nome diferente. Os aplicativos ainda podem ter os recursos listados na descrição, então os usuários podem nem suspeitar de uma ameaça.
A maioria dos membros da família Jocker são downloaders de múltiplos estágios — eles recebem o payload dos servidores C&C dos golpistas. Os trojans da família Harly, por outro lado, contêm toda a carga dentro do aplicativo e usam diferentes métodos para descriptografá-lo e executá-lo.
Como funciona o Trojan de assinatura Harly
Vamos tomar como exemplo um aplicativo chamado com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), um aplicativo de lanterna que teve mais de 10.000 downloads na Google Play.
Quando o aplicativo é baixado e executado, códigos maliciosos são carregados;
A biblioteca descriptografa o arquivo dos recursos do aplicativo.
Curiosamente, os desenvolvedores do malware aprenderam a usar as linguagens Go e Rust, mas por enquanto suas habilidades estão limitadas a descriptografar e carregar o SDK malicioso.
Como outros Trojans de assinatura, o Harly coleta informações sobre o dispositivo do usuário e, particularmente, sobre a rede móvel. O telefone do usuário muda para uma rede móvel e, em seguida, o Trojan pede ao servidor C&C para configurar a lista de assinaturas que devem ser feitas.
Este Trojan em particular funciona apenas com operadores tailandeses, então primeiro os MNCs (códigos de rede mobile) são verificados — os identificadores exclusivos das operadoras de rede para se certificar de que são tailandeses:
No entanto, como um MNC de teste, ele usa o código da China Telecom — 46011. Esta e outras pistas sugerem que os desenvolvedores de malware estão localizados na China.
O Trojan abre o endereço de assinatura em uma janela invisível e, injetando scripts JS, digita o número de telefone do usuário, pressiona os botões necessários e digita o código de confirmação a partir de uma mensagem de texto. O resultado é que o usuário recebe notificações de uma assinatura paga sem perceber.
Outra característica notável deste Trojan é que ele pode realizar inscrições não apenas quando o processo é protegido por um código de mensagem de texto, mas também quando ele é protegido por ligações telefônicas como método de autenticação: neste caso, o Trojan faz uma chamada para um número específico e confirma a assinatura.
Nossos produtos detectam os aplicativos nocivos que descrevemos aqui como Trojan.AndroidOS.Harly e Trojan.AndroidOS.Piom.
Como se proteger dos Trojans de assinatura
As lojas de aplicativos oficiais estão continuamente combatendo a disseminação de malware, mas, como vemos, nem sempre são bem-sucedidas. Antes de instalar um aplicativo, você deve primeiro ler as avaliações do usuário e verificar a classificação na Google Play. Claro, tenha em mente que os comentários e as classificações podem ser exageradas. Para que você não seja vítimas desse tipo de malware, recomendamos que você instale uma solução de segurança confiável.