Oito apps de Minecraft alimentaram rede de milhões de botnets, diz Symantec

Em uma publicação em seu blog nesta quarta-feira (19), os pesquisadores de segurança da Symantec escreveram que descobriram pelo menos oito aplicativos na Google Play Store que funcionavam como fachada para um “tipo novo e altamente predominante de malware no Android”, chamado Android.Sockbot. Os aplicativos em questão se apresentaram como skins para os personagens do […]

Em uma publicação em seu blog nesta quarta-feira (19), os pesquisadores de segurança da Symantec escreveram que descobriram pelo menos oito aplicativos na Google Play Store que funcionavam como fachada para um “tipo novo e altamente predominante de malware no Android”, chamado Android.Sockbot. Os aplicativos em questão se apresentaram como skins para os personagens do jogo Minecraft: Pocket Edition e chegavam a “uma base de instalação entre 600 mil e 2,6 milhões de dispositivos”.

Imagem: Captura de Tela via Symantec

De acordo com a Symantec, os aplicativos em questão realmente funcionavam e entregavam o que prometiam, permitindo que jogadores de Minecraft utilizassem diferentes personagens (como um “assassino”, por exemplo). Mas esses apps também se conectavam a um servidor de comando e controle que bombardeava o dispositivo Android comprometido com requisições de conexão via o protocolo Socket Secure (SOCKS) para servidores de anúncios publicitários. No entanto, a Symantec explica que não havia nenhuma funcionalidade nos aplicativos que realmente exibisse publicidade, sugerindo que esses servidores poderiam estar direcionando os dispositivos comprometidos a participar de uma variedade de atividades maliciosas:

Esse topologia de proxy altamente flexível poderia facilmente ser estendida para tirar vantagem de uma série de vulnerabilidades baseadas em redes, e poderia ultrapassar barreiras da segurança. Além de habilitar ataques de redes arbitrários, o grande alcance dessa infecção poderia também ser alavancar para montar um ataque distribuído de negação de serviço (DDoS).

A Symantec escreve que a conta de desenvolvedor por trás de todos os oito aplicativos, a FunBaster, aparentemente criptografou partes do código para frustrar “formas básicas de detecção”. O Google Play já removeu os aplicativos da loja.

Como notou o Ars Technica, o incidente é mais uma evidência de que o Google Play “é cronicamente incapaz de detectar aplicativos não confiáveis antes de permitir que eles entram em sua loja de aplicativos oficial”. Em outro exemplo, em agosto o Google Play retirou pelo menos três aplicativos falsos de mensagens que eram “capazes de tirar fotos, gravar áudios, recuperar registros de ligações, entre outros, tudo secretamente”.

Em junho, o CNET noticiou que aplicativos falsos foram se tornando rapidamente um problema amplo em toda a indústria, incluindo na App Store da Apple e em redes de terceiros. Muitos dos scammers pareciam estar tirando vantagem dos procedimentos frouxos de verificação para os aplicativos recém adicionados; um deles entitulado “Proteção Móvel: VPN Limpo & Seguro” subiu para a lista de dez aplicativos de produtividade em alta na App Store da Apple antes de ser revelado que estava cobrando a usuários US$ 99,99 por semana.

No geral, talvez seja boa ideia pensar se você realmente precisa de um aplicativo bonitão de um desenvolvedor misterioso antes de instalá-lo em um dispositivo que contém a maior parte de suas informações pessoais.

[Symantec/Ars Technica]

Imagem do topo: AP

fique por dentro
das novidades giz Inscreva-se agora para receber em primeira mão todas as notícias sobre tecnologia, ciência e cultura, reviews e comparativos exclusivos de produtos, além de descontos imperdíveis em ofertas exclusivas