Embora recentemente reportamos ter encontrado 20 aplicativos na Google Play se passando por modpacks para Minecraft – os mais populares com mais de um milhão de downloads – malwares que se aproveitam do Minecraft continua aparecendo no Google Play. Em vez das funcionalidades que declaram possuir, os aplicativos transformam os smartphones e tablets dos usuários em ferramentas de publicidade extremamente intrusivas.
Para ser mais preciso, os aplicativos eram totalmente inúteis da perspectiva do usuário. Após a primeira execução, eles escondem seus ícones e abrem repetidamente o navegador para anúncios em flash. Eles também podem reproduzir vídeos do YouTube, abrir páginas de aplicativos do Google Play e muito mais. A versão que analisamos, por exemplo, abria o navegador a cada dois minutos, tornando o dispositivo praticamente inutilizável. A coisa era especialmente preocupante, porque era extremamente difícil para um usuário descobrir o que estava acontecendo, qual aplicativo era responsável pelos problemas e como interrompê-los.
Notificamos o Google sobre nossa descoberta e os aplicativos maliciosos foram rapidamente removidos da loja.
Novas versões de aplicativos maliciosos
A exclusão da loja de aplicativos do Google não elimina necessariamente o malware; o que pode acontecer é seus criadores carregarem novas versões alteradas ou com poucas modificações usando nomes e contas de desenvolvedor distintas.
Um exemplo do ciclo vem do VK Music Trojan, que roubou contas de usuário da rede social VK e, apesar de ser denunciado, permaneceu no Google Play por vários anos.
Cientes disso, revisitamos o caso dos modpacks prejudiciais do Minecraft no Google Play para descobrir se o artigo ajudou. Para isso, começamos uma busca por aplicativos semelhantes – e encontramos alguns.
Novas versões aprimoradas
Primeiro, encontramos vários aplicativos usando a abordagem mencionada acima, mas com algumas melhorias. Em um cenário básico, os aplicativos aceitam comandos de mensagem push dos invasores para mostrar anúncios em tela inteira (nenhuma interação do usuário necessária). Os aplicativos são projetados para baixar um módulo extra também. Com esse módulo no aparelho, mais funções se tornam disponíveis, permitindo que os aplicativos ocultem seus ícones, executem o navegador, reproduzam vídeos do YouTube, abram páginas de aplicativos do Google Play e assim por diante.
Desta vez, a lista de aplicativos comprometidos incluiu, além dos mods do Minecraft, uma ferramenta de recuperação de arquivos chamada File Recovery – Recover Deleted Files. A versão 1.1.0, disponível no Google Play até fevereiro de 2021, tinha uma carga maliciosa. Essa versão foi removida e a versão 1.1.1, que agora está no Google Play, é segura.
Versão simplificada com assinatura paga no Google Play
Em segundo lugar, encontramos alguns modpacks para Minecraft com funcionalidade básica, uma configuração na qual os aplicativos ocasionalmente mostram anúncios em tela inteira, mesmo com o aplicativo inativo, mas não conseguem ocultar seus ícones ou executar o navegador, YouTube ou Google Play. Para monetização extra, a função de compras dentro do aplicativo é usada.
Curiosamente, um dos aplicativos agora está disponível na loja como uma versão “básica” e com as compras dentro do aplicativo habilitadas, enquanto alguns meses atrás ele dependia do módulo extra para download. A partir disso, concluímos que seus proprietários continuam experimentando opções de monetização.
Versão para roubo de contas do Facebook
Terceiro, descobrimos que vários outros aplicativos foram encontrados nos quais a funcionalidade maliciosa descrita acima não era a principal. Há algum tempo, por exemplo, o Google Play trazia um falso aplicativo de rede de publicidade Madgicx e um falso aplicativo de gerenciamento de anúncios do TikTok que solicitaria insistentemente os dados da conta do usuário no Facebook e, se o usuário os fornecesse, roubaria a conta.
Aplicativos de lojas alternativas
Finalmente, muitos desses aplicativos permanecem disponíveis em lojas alternativas, mesmo depois que o Google os remove de sua loja. O que não é surpresa; até mesmo o Google, com muito mais recursos do que a empresa média, nem sempre consegue moderar prontamente o grande volume de aplicativos existentes. Ainda assim, decidimos mencionar esse aspecto aqui, pois ele fornece evidências claras de que o uso de armazenamentos alternativos não é seguro. Se ainda pretende usá-los por qualquer motivo, pelo menos instale um antivírus confiável que protegerá seus dispositivos contra aplicações perigosas.
Assim como em muitos outros episódios de malware disfarçados na loja de aplicativos oficial do Google, mesmo que você baixe seus aplicativos apenas do Google Play, você ainda estará mais protegido com um antivírus em seu smartphone.