Geral 2min de Leitura - 30 de setembro de 2022

Apple e Google removem malwares de suas lojas

Apple e Google

This post is also available in: Português Español

Mais de 80 aplicativos falsos nas lojas oficiais do Android e iOS foram detectados por especialistas em segurança cibernética. Segundo relatório divulgado no dia 23 deste mês, esses aplicativos estavam envolvidos em fraudes de anúncios. Os adwares foram instalados 13 milhões de vezes nos dois sistemas operacionais.

Segundo a equipe de pesquisadores Satori Threat Intelligence da HUMAN, os programas em questão se passavam por aplicativos legítimos, mas atuavam exibindo uma enxurrada de anúncios nos celulares das vítimas. Também conseguiam executar a exibição de publicidade de forma oculta, gerando visualizações para páginas fraudulentas.

Embora esses tipos de aplicativos não sejam vistos como uma ameaça grave, seus operadores podem usá-los para atividades mais perigosas.

Os falsos aplicativos, fazendo uso de um ID de pacote não correspondente ao nome da publicação, enganavam os anunciantes gerando receita com cliques e impressões que aparentemente eram oriundas de uma categoria de software mais lucrativa. Contando com camadas adicionais de ofuscação de código, era difícil detectá-los.

Os pesquisadores da HUMAN acreditam que esses adwares façam parte de uma campanha de fraude publicitária intitulada “scylla”. Ela seria a terceira onda de uma ação iniciada em 2019, apelidada de “Poseidon”, que teve a segunda etapa, batizada “Charybdis”, organizada em 2020.

Aplicativos removidos das lojas

A maior parte dos aplicativos de anúncios falsos foi encontrada na Play Store, segundo o relatório. Eram mais de 75 adwares disponíveis na loja do Android, disfarçados de softwares legítimos utilizando nomes como Dinosaur Legend, Super Hero – Save the world!, Find 5 Differences, entre outras dezenas de títulos.

Os especialistas dizem que no iOS, eram mais de 10 aplicativos fraudulentos envolvidos na campanha maliciosa. Dentre os títulos, estavam Run Bridge, Racing Legend 3D, Fire-Wall e Shinning Gun.

Detalhes do malware

Os pesquisadores da HUMAN descobriram que 29 dos aplicativos Scylla imitavam até 6 mil aplicativos baseados em CTV e alternavam regularmente entre os Ids para evitar a detecção de fraudes.

imagem1
Fonte: HUMAN

No Android, os anúncios são carregados em janelas ocultas do WebView, para que a vítima nunca perceba nada suspeito, pois tudo acontece em segundo plano.

imagem2
Fonte: HUMAN.

imagem 3
Fonte: HUMAN.

Além disso, o adware usa um sistema “JobScheduler” para adicionar eventos de impressão de anúncios quando as vítimas não estão usando ativamente seus dispositivos, por exemplo, quando a tela está desligada.

imagem 4
Código JobScheduler (HUMAN)

Os sinais de fraude são registrados em logs e podem ser vistos nas capturas de rede, mas os usuários comuns normalmente não os examinam.

imagem 5
Tráfego de anúncios nos registros de rede (HUMAN)

Em comparação com o “Poseidon”, os aplicativos Scylla contam com camadas adicionais de ofuscação de código usando o ofuscador Allatori Java. Isso torna a detecção e a engenharia reversa mais difícil para os pesquisadores.

Verifique a lista de softwares e remova os aplicativos manualmente

As duas plataformas foram alertadas e removeram todos os adwares detectados pela equipe da HUMAN.

Os aplicativos falsos não estão mais disponíveis para download, mas muitos ainda podem estar instalados nos celulares, escapando da detecção automática. Portanto, é importante conferir a lista completa dos softwares fraudulentos envolvidos na campanha no site da HUMAN Security, e removê-los manualmente caso possua algum sendo executado em seu dispositivo.

Fonte: BleepingComputer

This post is also available in: Português Español