Um novo tipo de malware mostra mais uma vez como pode ser nocivo baixar apps em lojas de terceiros pouco confiáveis. A praga chamada de Gooligan pode dar acesso a detalhes da conta do Google e já atingiu mais de 1 milhão de logins, segundo a empresa de segurança Check Point, que descobriu o ataque.

ImageGate: malware tem se espalhado por arquivos de imagens em redes sociais
O malware usado para roubar dinheiro de caixas eletrônicos ficou mais assustador

O Gooligan se aproveita de falhas antigas no kernel do Android presentes nas versões Ice Cream Sandwich, Jelly Bean, KitKat e Lollipop para liberar acessos privilegiados ao atacante. Na sequência, o malware instala programas ladrões de tokens de autenticação, que possibilitam acessar contas do Google sem a necessidade de uma senha.

A ideia dos cibercriminosos é ter acesso ao e-mail dos usuários para poder instalar apps do Google Play e aumentar a reputação deles com comentários e estrelas, além disso, o ataque também permite a instalação de adwares em smartphones infectados para eles ganharem dinheiro.

avaliacao-falsa-reviews

Reviews falsos detectados pela Check Point em app do Google Play

A infecção do aparelho é feita principalmente pela instalação de apps provenientes de lojas de terceiros. Algo curioso sobre esta descoberta da Check Point é que metade (52%) dos infectados, de acordo com a empresa de segurança, são provenientes da Ásia — parece que é bem comum o download de aplicativos de lojas alternativas por lá. Na sequência, aparecem as Américas (19%), África (15%) e Europa (9%)

Ao todo, foram contabilizados 86 apps em lojas de terceiros que contam com esses códigos maliciosos. Alguns deles: Perfect Cleaner, WiFi Enhancer e Battery Monitor. A lista completa pode ser vista no blog da Check Point.

Apesar da seriedade do ataque, o Google diz que está trabalhando com a Check Point e que até o momento não há evidência de acesso de dados pessoais em contas identificadas como comprometidas ou que usuários em específico tenham sido alvos do malware.

“Nós tomamos muitas ações para proteger nossos usuários e melhorar a segurança do ecossistema Android”, informou Adrian Ludwig, que é engenheiro de segurança do Android, em um post no Google+. “Isso inclui: revogar os tokens de contas do Google de usuários afetados, informando-os com claras instruções de como voltar a se conectar de forma segura; remover apps relatados com o problema dos dispositivos, implantar melhoramentos duradouros do Verificar Apps [ferramenta do Android que busca ameaças] para proteger os usuários no futuro e colaborar com provedores para eliminarmos este malware juntos.”

Para saber se sua conta foi contaminada, a Check Point disponibilizou uma ferramenta. Se você suspeita que seu aparelho pode ter sido infectado, fique tranquilo, sobretudo se você faz atualizações frequentes. As vulnerabilidades exploradas pelo Gooligan já foram corrigidas no passado, especificamente em 2013 e 2014.

[The Verge, Ars Technica e Check Point]