This post is also available in: Português
Todo software malicioso se disfarça para conquistar algum grau de confiança, e assim fazer o seu estrago. Alguns fazem isso por trás da criação de mensagens falsas, que são enviadas a amigos da vítima. A esperança é que o elo do relacionamento pré-estabelecido seja suficiente para que poucos desconfiem da autenticidade das mensagens.
Com uma execução de alta qualidade, essa lógica foi seguida por um recém-descoberto malware que se propaga por meio de mensagens do WhatsApp para outros contatos. Ao que tudo indica, o objetivo é espalhar o que parece ser uma campanha de adware em dispositivos Android.
A carga maliciosa se dissemina através do WhatsApp das vítimas, respondendo automaticamente a qualquer notificação de mensagem recebida do WhatsApp com um link. “Ao clicar nele, o usuário é direcionado para um aplicativo Huawei Mobile malicioso”, disse Lukas Stefanko, pesquisador da multinacional ESET.
O mal se espalha
Quem clicar no link para o falso aplicativo Huawei Mobile, é redirecionado para um site fake, com aparência semelhante ao Google Play Store.
Depois de instalado, o wormable solicita às vítimas que concedam acesso às notificações. Aí, o wormable aproveita o recurso de resposta rápida do WhatApp – usado para responder às mensagens recebidas das notificações – para enviar uma resposta automática às mensagens.
Além de solicitar permissões para ler notificações, o aplicativo também solicita acesso intrusivo para ser executado em segundo plano. Pede também para ficar em evidência em relação a outros apps. Isso significa que pode se sobrepor a qualquer outro aplicativo em execução com sua própria janela, que pode ser usada para roubar credenciais e informações confidenciais. Assim, é possível induzir os usuários a cair em um adware ou esquema de assinatura.
Em sua versão atual, o código do malware é capaz de enviar respostas automáticas apenas para contatos do WhatsApp. Contudo, nada impede que tal recurso possa ser estendido – em uma atualização futura – para outros aplicativos de mensagens, que também possuem a funcionalidade de resposta rápida do Android.
Ainda que a mensagem seja enviada “apenas” uma vez por hora para um mesmo contato, o conteúdo da mensagem e o link para o aplicativo são provenientes de um servidor remoto. Isso aumenta a possibilidade de que o malware possa ser usado para distribuir outros sites e aplicativos maliciosos. Bastaria trocar o conteúdo e os usuários receberiam os mais variados tipos de ameaças virtuais.
Rápido e misterioso
Ainda não existe muito conhecimento sobre o mecanismo exato por trás de como o malware chega ao conjunto inicial de vítimas diretamente infectadas. Contudo, já se sabe que o malware pode expandir-se potencialmente de alguns dispositivos para muitos outros de forma bastante veloz. “Independente da rapidez, a suspeita é que infecta aos aparelhos iniciais via SMS, e-mail, mídia social ou grupos de bate-papo”, disse Stefanko.
Ameaças do tipo ressaltam, novamente, a necessidade de se limitar a fontes confiáveis para baixar aplicativos de terceiros. Deve-se também verificar se um aplicativo foi realmente criado por um desenvolvedor genuíno, e examinar cuidadosamente as permissões do app antes da instalação. Nesse contexto, joga a favor do malware o fato de ser transmitido através de mensagens vindas de amigos. Assim, o ideal é sempre questionar algo de diferente que um amigo esteja enviando. Afinal, pode não ter sido de propósito; é possível que o amigo tenha sido vítima de um ataque virtual – sem nem ter percebido isso, pois malwares vivem se disfarçando.
This post is also available in: Português
