Na maioria dos casos, as aplicações “livres” para Android que você baixa da loja do Google Play não são livres em tudo. Os programadores não criariam um aplicativo para você por pura da bondade. Como a maioria dos serviços online que não requerem pagamento, o lucro é obtido por meio de publicidade e compras in-app.
Durante o processo de desenvolvimento, quem cria o programa soma a ele um pacote determinado de anúncios de terceiros. Uma vez que o aplicativo é baixado do Google Play, a empresa já pode enviar anúncios aos usuário e deve pagar o programador do aplicativo. Nem o programador nem o usuário tem controle sobre o que esse pacote de anúncios está fazendo, que tipo de informações coleta, que anúncios oferece ou como ele interage com o dispositivo do usuário. Algumas anúncios são corretos e responsáveis. Alguns são enganosos e imprudentes.
Qualquer anúncio popular, amplamente utilizado no sistema operacional Android, possui várias características excessivas e invasivas. Também apresenta uma infinidade de vulnerabilidades e dinâmicas questionáveis em aplicativos foram baixados mais de 200 milhões de vezes. Assim é o comportamento imprudente desta biblioteca de anúncios, segundo os pesquisadores da FireEye que chamam esses arquivos empacotados de “Vulna”, uma fusão de duas palavras: vulnerável e agressivo. Vulna têm a capacidade de recolher informações sensíveis, como o conteúdo de mensagens de texto, histórico de chamadas e listas de contatos. Além disso – e mais preocupante – esses anúncios podem executar seus códigos nos dispositivos Android nas outras aplicações instaladas.
O pior é que as vulnerabilidades do Vulna permitem que os hackers remotos assumam o controle de qualquer um dos recursos da rede de anúncios para usá-los contra o usuário. Em outras palavras – e esta é a razão pela qual a FireEye rebatizou esses aplicativos – os milhões de dispositivos com Vulna são teoricamente suscetíveis a uma vasta gama de ataques.
Levando em conta que a maioria das vulnerabilidades estão relacionadas com a falta de criptografia dos dados transferidos entre os servidores da Vulna e os dispositivos; um cibercriminoso experiente poderia fazer o seguinte: roubar os códigos de verificação que são enviados a través de sms; visualizar fotos e arquivos armazenados; instalar aplicativos maliciosos e ícones na tela inicial; apagar arquivos e dados; passar-se pelo verdadeiro dono do smartphone para fins maldoso; apagar as mensagens de texto recebidas; fazer chamadas telefônicas, usar a câmera de forma secreta. E isso não é tudo! Também poderia espiar através das rede WiFi, instalar um malware de botner ou hackear os servidores de Vulna, podendo redirecionar o tráfico da rede a qualquer página controlada pelo cibercriminoso (como aconteceu no ataque recente contra o Twitter e o New York Times).
Infelizmente, os usuários não podem saber se tem instalada uma app afiliada ao servico de Vulna por causa da maneira que ele recebe os comandos do HTTP do servidor. O código está fechado e só seus criadores têm a permissão para examiná-lo.
Como contraponto positivo, FireEye foi muito mais explícito na hora de revelar ao Google a identidade real de Vulna e a empresa responsável da biblioteca de anúncios. Ainda esta semana, FireEye anunciou que tanto o Google e a empresa responsável já fizeram uma série de mudanças positivas. O Google removeu uma série aplicações abusivas e muitos desenvolvedores têm atualizado seus programas com uma versão de Vulna menos invasiva ou, diretamente, vão eliminar esta rede.
Infelizmente, muitos usuários do Android não instalaram as atualizações dos aplicativos e, portanto, permanecem vulneráveis a esta ameaça. De fato, FireEye estima que cerca de 166 milhões de downloads ainda contenham a versão “ruim” de Vulna.
Obviamente, recomendamos baixar as atualizações, porque se você recusar, ninguém poderá ajudá-lo. Também devemos estar atentos ao adware. As versões pagas dos aplicativos podem parecer um desperdício de dinheiro quando há aplicativos gratuitos que oferecem os mesmo serviços. Mas, a dura verdade é que nada é de graça. A maioria dos aplicativos gratuitos conseguem sua renda econômica através de serviços publicitários como o caso do Vulna e é praticamente impossível saber com certeza quem e como se mantém estas redes de anúncios.
Imagine por um segundo que um cibercriminal seqüestra os servidores DNS do Vulna e redirecionar todos os seus cliques para uma página onde está escondido um trojan bancário. Milhões de usuários poderiam ter suas contas bancárias comprometidas. Os custos, em termos de tempo e dinheiro, associados com a recuperação de uma conta bancária certamente superaria os muitos dólares o custo de ter utilizado um app pago. É claro, que ao menos, depois de leer este artigo, espero que na próxima vez que você baixar um app leia e monitore as permissçoes que concede às aplicações de terceiros.