Malwares do Google Play atingem mais de 600 milhões de downloads em 2023

Uma análise de alguns casos recentes de malwares para Android que se infiltram na mais importante loja oficial de aplicativos, o Google Play.

Os usuários tendem a pensar que é seguro instalar os aplicativos do Google Play. Afinal, é a mais oficial de todas as lojas oficiais para Android, e todos os aplicativos são cuidadosamente verificados pelos moderadores da Google, certo?

No entanto, lembre-se de que o Google Play reúne mais de três milhões de aplicativos únicos, sendo que a maioria deles é atualizada regularmente; assim, verificar todos minuciosamente, minuciosamente mesmo , é uma tarefa que está além dos recursos até mesmo de uma das maiores empresas do mundo.

Bem cientes disso, os fabricantes de aplicativos maliciosos desenvolveram uma série de técnicas para colocar suas criações no Google Play. Nesta postagem, analisaremos os casos mais chamativos de 2023 relativos a aplicativos maliciosos na loja oficial do Android, com um total superior a 600 milhões de downloads! Vamos lá!

50.000 downloads: o aplicativo iRecorder infectado escuta os usuários

Vamos começar com o caso relativamente pequeno, mas bastante interessante e altamente ilustrativo do iRecorder. Esse aplicativo comum de gravação de tela para smartphones Android foi carregado no Google Play em setembro de 2021.

Então, em agosto de 2022, seus desenvolvedores adicionaram algumas funcionalidades maliciosas: um código de cavalo de troia de acesso remoto AhMyth, que fazia com que os smartphones de todos os usuários que instalaram o aplicativo gravassem o som do microfone a cada 15 minutos e o enviassem para o servidor dos criadores do aplicativo. Quando os pesquisadores descobriram o malware em maio de 2023, o aplicativo iRecorder havia sido baixado mais de 50.000 vezes.

Esse exemplo demonstra uma das maneiras pelas quais os aplicativos maliciosos se infiltram no Google Play. Primeiro, os cibercriminosos carregam um aplicativo inofensivo na loja, garantindo que ele passe por todas as verificações de moderação. Então, quando o aplicativo tiver conquistado um público e alguma reputação (o que pode levar meses ou até anos), ele é alterado com a funcionalidade maliciosa na próxima atualização carregada no Google Play.

620.000 downloads: cavalo de troia de assinatura Fleckpe

Também em maio de 2023, nossos especialistas encontraram vários aplicativos no Google Play infectados com o cavalo de troia de assinatura Fleckpe. A essa altura, eles já haviam contabilizado 620.000 instalações. Curiosamente, esses aplicativos foram carregados por desenvolvedores diferentes. E essa é outra tática comum: os cibercriminosos criam várias contas de desenvolvedor na loja para que, mesmo que algumas sejam bloqueadas pelos moderadores, possam simplesmente carregar um aplicativo semelhante em outra conta.

Aplicativos no Google Play infectados com o cavalo de troia de assinatura Fleckpe

Aplicativos no Google Play infectados com o cavalo de troia de assinatura Fleckpe

Quando o aplicativo infectado era executado, a principal carga maliciosa era baixada no smartphone da vítima e, depois disso, o cavalo de troia se conectava ao servidor de comando e controle e transferia as informações do país e da operadora de celular. De acordo com essas informações, o servidor fornecia instruções sobre como proceder. O Fleckpe então abria páginas da Web com assinaturas pagas em uma janela do navegador invisível para o usuário e, ao interceptar os códigos de confirmação de notificações recebidas, fazia com que o usuário assinasse serviços desnecessários, pagos por meio da conta da operadora de celular.

1,5 milhão de downloads: spyware chinês

Em julho de 2023, foi descoberto que o Google Play hospedava dois gerenciadores de arquivos; um com um milhão de downloads e o outro com meio milhão. Apesar das garantias dos desenvolvedores de que os aplicativos não coletavam nenhum dado, os pesquisadores descobriram que ambos transmitiam muitas informações do usuário para servidores na China, inclusive contatos, geolocalização em tempo real, dados sobre o modelo do smartphone e a rede celular, fotos, áudio, arquivos de vídeo e muito mais.

Gerenciadores de arquivos no Google Play infectados com spyware

Gerenciadores de arquivos no Google Play com spyware chinês. Fonte

Para evitar serem desinstalados pelo usuário, os aplicativos infectados ocultavam seu ícone de área de trabalho, outra tática comum usada pelos criadores de malwares para dispositivos móveis.

2,5 milhões de downloads: adware em segundo plano

Em um caso recente de detecção de malware no Google Play em agosto de 2023, pesquisadores descobriram até 43 aplicativos, incluindo, entre outros, TV/DMB Player, Music Downloader, notícias e calendário, que carregavam anúncios secretamente quando a tela do smartphone do usuário estava desligada.

Os aplicativos no Google Play exibiam anúncios em segredo

Alguns dos aplicativos com adware oculto. Fonte

Para poder realizar negócios em segundo plano, os aplicativos solicitavam que o usuário os adicionasse na lista de exclusões da economia de energia. Inevitavelmente, os usuários afetados tiveram uma redução na vida útil da bateria. Esses aplicativos tiveram um total combinado de 2,5 milhões de downloads, e o público-alvo era principalmente coreano.

20 milhões de downloads: aplicativos fraudulentos que prometiam recompensas

Um estudo publicado no início de 2023 revelou vários aplicativos suspeitos no Google Play com mais de 20 milhões de downloads entre eles. Posicionando-se principalmente como rastreadores de saúde, eles prometiam aos usuários recompensas em dinheiro pela prática de caminhada e outras atividades, bem como pela visualização de anúncios ou instalação de outros aplicativos.

Aplicativos fraudulentos no Google Play prometendo pagamento por caminhadas e visualização de anúncios

Aplicativos no Google Play prometendo recompensas por caminhadas e visualização de anúncios. Fonte

Mais precisamente, o usuário recebia pontos por essas ações, que supostamente poderiam ser convertidos em dinheiro real. O único problema era que, para obter uma recompensa, era necessário acumular um número tão grande de pontos que era efetivamente impossível.

35 milhões de downloads: clones do Minecraft com adware integrado

O Google Play também se tornou lar de jogos maliciosos este ano, tendo como principal culpado (e não pela primeira vez) o Minecraft, ainda um dos títulos mais populares do mundo. Em abril de 2023, 38 clones do Minecraft foram detectados na loja oficial do Android, com um total de 35 milhões de downloads. Escondido dentro desses aplicativos estava o adware chamado HiddenAds.

Clone do Minecraft infectado por adware no Google Play

Block Box Master Diamond — o mais popular dos clones do Minecraft infectados pelo HiddenAds. Fonte

Quando os aplicativos infectados eram iniciados, eles “exibiam” anúncios ocultos sem o conhecimento do usuário. Isso não representava uma ameaça séria por si só, mas esse comportamento pode afetar o desempenho do dispositivo e a vida útil da bateria.

E esses aplicativos infectados sempre podem ser seguidos posteriormente por um esquema de monetização muito menos inofensivo. Essa é outra tática padrão dos criadores de aplicativos de malware para Android: eles alternam prontamente entre os diferentes tipos de atividade maliciosa, dependendo do que é mais lucrativo em um determinado momento.

100 milhões de downloads: coleta de dados e fraude de cliques

Também em abril de 2023, foi encontrado no Google Play outros 60 aplicativos infectados com um adware que os pesquisadores apelidaram de Goldoson. Esses aplicativos juntos tiveram mais de 100 milhões de downloads no Google Play e mais oito milhões na popular loja coreana ONE.

Esse malware também “exibia” anúncios ocultos ao abrir páginas da Web dentro do aplicativo em segundo plano. Além disso, os aplicativos maliciosos coletavam dados do usuário, inclusive informações sobre aplicativos instalados, geolocalização, endereços de dispositivos conectados ao smartphone por Wi-Fi e Bluetooth e muito mais.

O Goldoson parece ter entrado em todos esses aplicativos juntamente com uma biblioteca infectada usada por muitos desenvolvedores legítimos que simplesmente não sabiam que ela continha funcionalidades maliciosas. E isso não é uma ocorrência incomum: muitas vezes os criadores de malware não desenvolvem e publicam aplicativos no Google Play, mas criam bibliotecas infectadas desse tipo, que acabam na loja com os aplicativos de outros desenvolvedores.

451 milhões de downloads: anúncios de minijogos e coleta de dados

Fechamos com o maior caso do ano: em maio de 2023, uma equipe de pesquisadores encontrou 101 aplicativos inelegíveis no Google Play, contabilizando 421 milhões de downloads combinados. Escondida dentro de cada um deles estava uma biblioteca de código SpinOk.

Pouco depois, outra equipe de pesquisadores descobriu mais 92 aplicativos no Google Play com a mesma biblioteca SpinOk, com um número um pouco mais modesto de downloads: 30 milhões. No total, quase 200 aplicativos contendo o código SpinOK foram encontrados, com um total de 451 milhões de downloads do Google Play entre eles.Esse é outro caso em que um código perigoso foi adicionado em aplicativos a partir de uma biblioteca de terceiros.

Minijogos anunciados pelo SpinOk

Minijogos que prometem “recompensas” e mostravam aos usuários aplicativos infectados por SpinOk Fonte

Na superfície, a tarefa dos aplicativos era exibir minijogos invasivos que prometiam recompensas em dinheiro. Mas isso não era tudo: a biblioteca SpinOK tinha a capacidade de coletar e enviar dados e arquivos do usuário para o servidor de comando e controle dos desenvolvedores em segundo plano.

Como se proteger contra malware no Google Play

Obviamente, não abrangemos todos os casos de aplicativos maliciosos que entraram no Google Play em 2023, apenas os mais relevantes. A principal conclusão desta postagem é: malwares no Google Play são muito mais comuns do que qualquer um de nós imagina: os aplicativos infectados têm um total de downloads combinado de mais de meio bilhão!

No entanto, as lojas oficiais continuam sendo de longe as fontes mais seguras. Baixar aplicativos em outro lugar é muito mais perigoso, motivo pelo qual isso é altamente desaconselhado. Mas também é preciso ter cuidado com as lojas oficiais:

  • Sempre que baixar um novo aplicativo, verifique cuidadosamente a página do aplicativo na loja para garantir que seja genuíno. Tenha atenção especial com o nome do desenvolvedor. Não é incomum que os cibercriminosos clonem aplicativos populares e os coloquem no Google Play com nomes, ícones e descrições semelhantes para atrair usuários.
  • Não se deixe guiar pela classificação geral do aplicativo, pois ela é fácil de inflar. Resenhas elogiosas também não são difíceis de falsificar. Em vez disso, concentre-se nas avaliações negativas com classificações baixas; é lá que normalmente encontramos uma descrição de todos os problemas com o aplicativo.
  • Certifique-se de instalar uma proteção confiável em todos os seus dispositivos Android, que fornece um aviso antecipadamente caso um cavalo de troia tente se infiltrar no smartphone ou tablet.
  • Na versão gratuita do nosso aplicativo Kaspersky para Android, lembre-se de executar manualmente uma verificação do dispositivo de tempos em tempos e execute uma verificação de antivírus depois de instalar qualquer novo aplicativo e antes de iniciá-lo pela primeira vez.
  • Na versão paga do nosso pacote de proteção (que, aliás, está incluído na assinatura do Kaspersky Standard, Kaspersky Plus ou Kaspersky Premium), a verificação é executada automaticamente para manter o dispositivo protegido contra aplicativos infectados.
Dicas