Harly: outro Trojan de assinaturas na Google Play

Explicamos como o Harly, Trojan de assinaturas, tem como alvo usuários do Android.

É comum encontrar todos os tipos de malware escondidos no que parecem ser aplicativos inofensivos nas lojas oficiais como na Google Play. Infelizmente, mesmo que a plataforma seja analisada com cuidado, os moderadores nem sempre conseguem pegar esses aplicativos antes de serem publicados. Uma das variações mais populares desse tipo de malware é o Trojan de assinaturas, que inscreve a vítima em serviços pagos sem autorização. Já escrevemos sobre as famílias mais comuns desse tipo de Trojans. Hoje, nosso objetivo é falar de outro. É semelhante ao Jocker – é por isso que é chamado de Harly, o nome (ligeiramente alterado) da parceira de um conhecido vilão de quadrinhos. Os dois Trojan provavelmente têm a mesma origem.

O desonesto Trojan Harly

Desde 2020, mais de 190 aplicativos infectados com o Harly foram encontrados na Google Play. Uma estimativa conservadora do número de downloads desses aplicativos é de 4.8 milhões, mas o número real pode ser ainda maior.

Exemplos de aplicativos no Google Play que contêm malware Harly

Exemplos de aplicativos no Google Play que contêm malware Harly

Assim como o Trojan Jocker, os Trojans da família Harly imitam aplicativos legítimos. Então, como funciona? Os golpistas baixam aplicativos comuns do Google Play, escondem neles códigos maliciosos e depois os enviam para a Google Play com um nome diferente. Os aplicativos ainda podem ter os recursos listados na descrição, então os usuários podem nem suspeitar de uma ameaça.

Mais exemplos de aplicativos no Google Play que contêm o malware Harly

Mais exemplos de aplicativos no Google Play que contêm o malware Harly

A maioria dos membros da família Jocker são downloaders de múltiplos estágios — eles recebem o payload dos servidores C&C dos golpistas. Os trojans da família Harly, por outro lado, contêm toda a carga dentro do aplicativo e usam diferentes métodos para descriptografá-lo e executá-lo.

Avaliação de usuários reclamando de cobranças

Avaliação de usuários reclamando de cobranças

Como  funciona o Trojan de assinatura Harly

Vamos tomar como exemplo um aplicativo chamado com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), um aplicativo de lanterna que teve mais de 10.000 downloads na Google Play.

Um aplicativo infectado com o Trojan Harly

Um aplicativo infectado com o Trojan Harly

 Quando o aplicativo é baixado e executado, códigos maliciosos são carregados;

Uma biblioteca infectada

Uma biblioteca infectada

 A biblioteca descriptografa o arquivo dos recursos do aplicativo.

Descriptografia de um arquivo dos recursos do aplicativo

Descriptografia de um arquivo dos recursos do aplicativo

 Curiosamente, os desenvolvedores do malware aprenderam a usar as linguagens Go e Rust, mas por enquanto suas habilidades estão limitadas a descriptografar e carregar o SDK malicioso.

Como outros Trojans de assinatura, o Harly coleta informações sobre o dispositivo do usuário e, particularmente, sobre a rede móvel. O telefone do usuário muda para uma rede móvel e, em seguida, o Trojan pede ao servidor C&C para configurar a lista de assinaturas que devem ser feitas.

Este Trojan em particular funciona apenas com operadores tailandeses, então primeiro os MNCs (códigos de rede mobile) são verificados — os identificadores exclusivos das operadoras de rede para se certificar de que são tailandeses:

Verificação dos MNCs

Verificação dos MNCs

No entanto, como um MNC de teste, ele usa o código da China Telecom — 46011. Esta e outras pistas sugerem que os desenvolvedores de malware estão localizados na China.

Teste MNC

Teste MNC

O Trojan abre o endereço de assinatura em uma janela invisível e, injetando scripts JS, digita o número de telefone do usuário, pressiona os botões necessários e digita o código de confirmação a partir de uma mensagem de texto. O resultado é que o usuário recebe notificações de uma assinatura paga sem perceber.

Outra característica notável deste Trojan é que ele pode realizar inscrições não apenas quando o processo é protegido por um código de mensagem de texto, mas também quando ele é protegido por ligações telefônicas como método de autenticação: neste caso, o Trojan faz uma chamada para um número específico e confirma a assinatura.

Nossos produtos detectam os aplicativos nocivos que descrevemos aqui como Trojan.AndroidOS.Harly e Trojan.AndroidOS.Piom.

Como se proteger dos Trojans de assinatura

As lojas de aplicativos oficiais estão continuamente combatendo a disseminação de malware, mas, como vemos, nem sempre são bem-sucedidas. Antes de instalar um aplicativo, você deve primeiro ler as avaliações do usuário e verificar a classificação na Google Play. Claro, tenha em mente que os comentários e as classificações podem ser exageradas. Para que você não seja vítimas desse tipo de malware, recomendamos que você instale uma solução de segurança confiável.

Dicas