Trojan Ztorg: infecção por 5 centavos

Aplicativos que oferecem pagar para instalar outros tendem a presenteá-lo  com um malware.

Diversos anúncios na Internet promovem formas fáceis de ganhar dinheiro. Tendem a levar para locais estranhos – digamos, o depoimento de uma mãe com três filhos que permanece em casa o dia todo, e ganha milhares de dólares por dia, ainda reitera que você pode fazer o mesmo. Todavia, existem formas de lucrar aparentemente mais plausíveis.

Por exemplo, alguns serviços oferecem dinheiro em troca da instalação de aplicativos. Apenas alguns trocados – uns 5 centavos por cada app – mas o trabalho é muito tranquilo, o que torna esse pagamento atrativo para algumas pessoas. Esse tipo de esquema é especialmente popular entre adolescentes – instale 50 aplicativos e receba 2,50 para comprar algum equipamento em um jogo online.

A Google Play Store na verdade possui alguns aplicativos que se baseiam nessas trocas. Você pode baixar e instalar uns desses que verá uma lista pelos quais pode ser pago, após fazer o download e a instalação, use por alguns minutos – e pronto!

Parece bem mundano – até legítimo. É fato que muitos desenvolvedores de software dão muito valor para o número de download de um app -esse esquema aumenta a quantidade, mesmo que de forma duvidosa. Não é de se surpreender que estão dispostos a pagar por isso. Olhando assim, parece não ser uma pegadinha – será?

Dinheiro por nada, malware de graça

Claro que tem – afinal, não estaríamos abordando o assunto se não tivesse. Entre outras coisas, esses apps podem favoecer o download de malwares, em particular o infame Ztorg Trojan. Este é aquele baixado mais de 500 mil vezes disfarçado como guia para o Pokémon Go.

O guia para Pokémon Go não é o único aplicativo que contém o Ztorg. Romam Unuchek, especialisa da Kaspersky Lab que o descobriu, explorou os programas distribuídos por essas trocas por diversos meses. Inclusive, consegue afirmar que mensalmente um app aparecia com o malware camuflado.

A aplicação pode ser um editor de fotos, jogo, bússola – qualquer coisa. Os criadores nem sequer tentam adicionar o código malicioso a um programa existente útil. No lugar, escrevem aplicativos maliciosos do começo. Por isso, alguns são inúteis – podem passar por imagens, exibindo a mensagem “carregando, por favor aguarde”, sem fazer qualquer coisa além disso – a não ser infectar seu celular com o Ztorg.

O que o Ztorg faz

Todos esses aplicativos possuem duas coisas em comum. Primeiro, seu número de download aumenta rapidamente – dezenas de milhares por dia. Segundo, se você observar as avaliações de usuários na Google Play store, a maioria menciona que as pessoas os baixaram por dinheiro, créditos, bônus, ou algo do gênero.
O Ztorg não mudou. Depois da instalação, coleta informações sobre sistemas e dispositivo, enviando os para o servidor de comando e controle (C&C). Esse responde com arquivos que permitem que o malware obtenha acesso raiz do smartphone, depois os bandidos têm liberdade para fazer o que quiserem: mostrar anúncios, baixar outros Trojans, o que desejarem. Ele também se espalha por anúncios. Você clica em um banner e baixa um aplicativo, o instala, e pronto, infectado. Simples assim!

O que é interessante é que este malware mostra para suas vítimas anúncios das mesmas redes que usa para se espalhar. Elas são legítimas; diversas outras aplicações as usam. O problema é que os responsáveis pela segurança da rede deixaram passar o fato de que estavam anunciando o Ztorg.

Sendo justo, os desenvolvedores esconderam a funcionalidade maliciosa, ocultando-a ao analisar o aplicativo. Por exemplo, o Ztorg avalia o ambiente e não executa em um de teste.

A maioria dos banners maliciosos não conectam o usuário à página de download do aplicativo, mas para outra, que redireciona para segunda, e terceira – tudo isso visando a camuflagem. Foi possível contar até 27 redirecionamentos antes de fato chegar ao download. Além disso, o programa pode atrasar o ato de baixar arquivos do servidor de C&C em até 90 minutos – depois desse tempo, um teste já teria definido que nada de errado está ocorrendo.

Na verdade, esse disfarce é o que faz com que aplicativos como esses cheguem na Google Play store. Outros Trojans também dão as caras por lá – já falamos sobre isso (mais de uma vez) – de modo que você não deve confiar cegamente em qualquer coisa por estar nas lojas oficiais.

 A moral da história

Como evitar se tornar vítima desses ataques e permitir que golpistas entrem em seu celular? Temos duas dicas:

  1. Baixe aplicativos apenas de desenvolvedores confiáveis ou, melhor, de lojas oficiais. Você pode acabar encontrando Trojans, mas são mais incomuns neste contexto.
  2. Instale proteção confiável. Por exemplo, o Kaspersky Internet Security para Android é capaz de identificar e neutralizar o Ztorg em qualquer forma ou aplicativo. Se você usa a versão gratuita, terá de lembrar de executar verificações com frequência; a automatização desse processo normalmente está disponível apenas na versão paga.
Dicas