Pesquisadores descobriram um novo tipo de adware que, até recentemente, estava à solta, desenfreadamente, na loja de apps Google Play. Mais de 200 aplicativos supostamente estão com o malware de anúncios.

Em um post nesta quarta-feira (13), a empresa de segurança israelense Check Point disse que apps que continham essa estirpe particular de adware — chamada de SimBad — haviam sido baixados quase 150 milhões de vezes, principalmente por gamers.

“Acreditamos que os desenvolvedores foram vítimas de um golpe para usar esse kit de desenvolvimento de software, sem saber de seu conteúdo, levando ao fato de que essa campanha não estava visando um país específico e nem foi criada pelo mesmo desenvolvedor”, disse a empresa. “O malware foi chamado de ‘SimBad’ devido ao fato de que grande parte dos aplicativos infectados é de jogos de simulador.”

Os apps não estão mais disponíveis para download, conforme o Gizmodo pôde averiguar.

O Check Point disse que o malware reside dentro de um kit de desenvolvimento de software de publicidade aparentemente bastante usado, fornecido pelo “addroider[.]com”. Uma vez instalado, o SimBad recebe instruções de um servidor de comando e controle, como uma ordem para fazer seu ícone desaparecer, de forma a dificultar a remoção do app. Ele então começa a mostrar anúncios de pano de fundo e pode abrir qualquer URL no navegador do telefone.

“Com a capacidade de abrir uma determinada URL em um navegador, o agente por trás do ‘SimBad’ pode gerar páginas de phishing para várias plataformas e abri-las em um navegador, então realizando ataques de spear phishing contra o usuário”, disse o Check Point. “O agente pode até mesmo levar suas atividades maliciosas a um outro patamar, instalando um aplicativo remoto de um servidor designado, permitindo então a instalação de um novo malware quando necessário.”

Os pesquisadores apontaram que, embora o SimBad pareça ser construído para servir a anúncios por ora, ele tem a infraestrutura para virar uma “ameaça muito maior”.

Captura de tela: Check Point

Uma lista completa dos aplicativos infectados pode ser encontrada aqui.

Como detalhou uma reportagem da Wired em 2017, hackers encontraram maneiras engenhosas de contornar softwares de varredura feitos para manter os malwares longe das prateleiras do Google Play. Um dos principais métodos inclui a execução atrasada do código malicioso. Os esforços da empresa para ficar à frente do problema muitas vezes não dão resultado.

Dois meses atrás, os sistemas de detecção da loja de apps foram contornados por uma leva de 85 apps que, na hora que o Google conseguiu os deletar, já haviam infectado cerca de nove milhões de usuários. Alguns dias antes, usuários em 196 países foram infectados por uma série de apps capazes de acessar listas de contatos e mensagens de texto e até de gravar áudios.

Conforme destacado pelo ZDNet em janeiro, um dos problemas parece ser que se torna mais fácil para os distribuidores de malware se esquivarem do Google uma vez que seus apps ganham um número respeitável de downloads e parecem ser seguros.

“Normalmente, o Google faz checagens mais rigorosas em apps novos”, Bharat Mistry, da Trend Micro, disse ao site. “Porém, conforme atualizações são feitas no aplicativo ao longo do tempo, e elas não são maliciosas, o nível de checagem pode ser reduzido.”