O Google removeu nove aplicativos para dispositivos Android depois que pesquisadores descobriram que as ferramentas continham código malicioso. Segundo a empresa russa de software de antivírus Dr. Web, o malware era usado para roubar as credenciais de login de usuários no Facebook. Acredita-se que os apps infectados tenham registrado mais de 5,8 milhões de downloads combinados na Play Store.

De acordo com o Ars Technica, esses aplicativos de trojan foram projetados para se parecerem e funcionarem como serviços legítimos para funções corriqueiras nos smartphones, como edição de fotos, rotina de exercícios físicos, gerenciador de armazenamento e até dados de horóscopos. Tudo isso era elaborado para induzir os usuários a compartilhar seus nomes de usuário e senhas do Facebook.

O esquema funcionava assim: cada app oferecia aos usuários uma opção para desbloquear todos os recursos e se livrar de anúncios. A única exigência era que o usuário fizesse login com sua conta do Facebook, o que dificilmente levantava suspeitas, uma vez que muitos aplicativos permitem sincronizar informações da rede social. Ao escolher esta opção, os apps carregavam uma página legítima do Facebook contendo campos para inserir login e senha. Só que, na realidade, os dados inseridos iam direto para um computador controlado pelos hackers.

É isso o que explicam pesquisadores de segurança da Dr. Web:

“Esses trojans usaram um mecanismo especial para enganar suas vítimas. Depois de receber as configurações necessárias de um dos servidores C&C na inicialização, eles carregaram a página legítima do Facebook https://www.facebook.com/login.php no WebView. Em seguida, eles carregaram o JavaScript recebido do servidor C&C no mesmo WebView. Este script foi usado diretamente para sequestrar as credenciais de login inseridas. Depois disso, esse JavaScript, usando os métodos fornecidos por meio da anotação JavascriptInterface, passou o login e a senha roubados para os aplicativos trojan, que então transferiram os dados para o servidor C&C do invasor. Depois que a vítima se conecta a sua conta, os trojans também roubam cookies da sessão de autorização atual. Esses cookies também foram enviados para cibercriminosos.”

Os analistas descobriram 10 aplicativos de cavalos de Troia maliciosos no total, nove dos quais estavam disponíveis anteriormente na Google Play Store. Duas ferramentas que se passam por serviços de edição de fotos foram a maioria dos downloads: PIP Photo, com mais de 5 milhões de instalações, e Processing Photo com mais de 500 mil. Três outros aplicativos tiveram mais de 100 mil downloads cada.

Abaixo, os apps afetados pelo malware. Se você baixou algum deles, remova-os do seu dispositivo, atualize sua senha do Facebook e verifique se há atividades fraudulentas nas suas contas online:

  • Processing Photo
  • PIP Photo
  • Rubbish Cleaner
  • App Lock Keep
  • App Lock Manager
  • Lockit Master
  • Horoscope Pi
  • Horoscope Daily
  • Inwell Fitness

Foram identificadas cinco variantes de malware ocultas nesses aplicativos: Android.PWS.Facebook.13, Android.PWS.Facebook.14 e Android.PWS.Facebook.15, que são nativas para aplicativos Android; e Android.PWS.Facebook.17 e Android.PWS.Facebook.18, que usam a estrutura Flutter do Google projetada para compatibilidade entre plataformas. Uma vez que todos usam métodos, códigos e formatos de arquivo quase idênticos para roubar dados do usuário, o Dr. Web classifica todos os cinco como o mesmo trojan.

Além disso, vale lembrar que os nove apps citados não aparecem mais nos resultados de pesquisa da Play Store. Um porta-voz do Google disse à Ars Technica que os desenvolvedores por trás dos programas também foram banidos permanentemente da loja.