This post is also available in: Português
Aplicativos deletados já somavam 5,8 milhões de downloads, e alegavam precisar das credenciais da rede social para desativar anúncios.
O roteiro já é bastante conhecido: aplicativos são colocados à disposição na Google Play totalmente de graça, exigindo “apenas” login e senha do Facebook dos usuários para ativar todas as funcionalidades. E é aí que mora o perigo; nem sempre os apps que pedem tais dados são seguros – e podem causar muito estrago.
Uma nova prova disso surgiu no começo deste mês. Foi quando o Google removeu nove aplicativos Android baixados mais de 5,8 milhões de vezes na Play Store. Motivo: foram pegos roubando as credenciais de login dos usuários no Facebook.
Um dos segredos do sucesso dos golpes desses apps é que estavam totalmente funcionais. Ou seja, de fato cumpriam os serviços para os quais foram baixados – aqueles que prometiam filtros e efeitos em fotos, por exemplo, realmente faziam isso. É algo que diminuía a desconfiança das vítimas, já que a maioria dos softwares “do mal” pouco ou nada faz além de pedir dados pessoais.
Nesse contexto, com o intuito de acessar todas as funções dos aplicativos – e supostamente desativar os anúncios – os usuários recebiam solicitações para fazer login em suas contas do Facebook. Em muitos casos, anúncios legítimos estavam aparecendo, em uma manobra que encorajava ainda mais os proprietários de dispositivos Android a realizar as ações necessárias.
O mal muito bem escondido
As reais intenções maliciosas estavam por trás de programas de edição de fotos, otimizadores de imagens, acompanhamento fitness e astrologia, por exemplo. Em determinado momento de suas atividades, pediam o login de contas do Facebook para sequestrar as credenciais inseridas por meio de um pedaço de código JavaScript, recebido de um servidor controlado pelos crackers.
O campeão de downloads foi o PIP Photo, baixado mais de 5 milhões de vezes, seguido pelo Processing Photo, com 500 mil. O ranking continua com o Rubbish Cleaner (100 mil), que prometia liberar espaço de armazenamento no celular e melhorar o desempenho do aparelho. Já o Horoscope Daily, como diz o nome, foi baixado cerca de 100 mil vezes por fãs do mundo dos signos, enquanto o Inwell Fitness (também com 100 mil downloads), focava na área de exercícios físicos. App Lock Keep, Lockit Master, Horoscope Pi e App Lock Manager completam a lista dos apps removidos.
Ataque abrangente
Embora essa campanha esteja voltada para as contas do Facebook, especialistas em segurança digital alertaram que esse ataque poderia ter sido expandido para carregar a página de login de qualquer plataforma legítima da web, com o objetivo de roubar logins e senhas de uma variedade de serviços.
Ou seja, com poucas modificações, seria possível pedir login e senha de contas do Instagram, LinkedIn ou TikTok, bem como credenciais de cartão de crédito ou de acesso a internet banking – alegando ser necessário para eventuais compras adicionais dentro do app. Afinal, em um aplicativo que se mostra funcional e aparentemente inofensivo, a confiança é cada vez maior.
Essa notícia veio dias depois que o Google anunciou novas medidas para a Play Store. Entre as alterações, está a exigência de que contas de desenvolvedor ativem a verificação em duas etapas, forneçam um endereço físico e verifiquem seus dados de contato – tudo como parte dos esforços do Google para combater fraudes de desenvolvedores.
De qualquer forma, a exclusão de tais apps é mais um lembrete de que os usuários devem instalar apenas aplicativos de desenvolvedores conhecidos e confiáveis. Precisam, ainda, ficar atentos às permissões solicitadas pelos aplicativos – e prestar atenção nas análises de outros usuários antes da instalação. Afinal, uma grande quantidade de opiniões negativas pode indicar que determinado aplicativo tem segundas intenções – e que provavelmente estará em uma futura lista de exclusões do Google.
This post is also available in: Português
