Pesquisadores da empresa de segurança ESET anunciaram a descoberta de um novo malware na Google Play Store que usava um modo simples, porém incomum, para passar pelas ferramentas de detecção do Google e também de outras empresas.
Batizado de Defensor ID e publicado por uma desenvolvedora que se identificava como “GAS brazil”, o malware é um trojan bancário que se fazia passar por um software de segurança, não exigia permissões excessivas e a princípio não tinha nenhum comportamento suspeito. Por isso, não foi identificado como malicioso bem pelo Play Protect, serviço do Google que analisa os apps publicados no Google Play, nem por várias desenvolvedoras de software de segurança que são parte do programa VirusTotal.
Uma vez instalado o app solicitava permissões de acessibilidade. E uma vez que elas eram concedidas, o ataque começava.
“Depois que o usuário ativa os Serviços de Acessibilidade, o DEFENSOR ID abre o caminho para o invasor limpar a conta bancária ou a carteira de criptomoedas da vítima e assumir o controle de suas contas de e-mail ou mídia social, entre outras ações maliciosas”, comenta Lukáš Štefanko, pesquisador da ESET que analisou o malware.
Os serviços de acessibilidade são parte do Android, e foram criados para facilitar o uso dos smartphones por pessoas com deficiência. Com eles, apps podem interceptar todo o conteúdo mostrado na tela do smartphone (recurso utilizado legitimamente por leitores para portadores de deficiência visual) ou desenhar elementos sobre a janela de outros apps.
Segundo a ESET o nome do suposto desenvolvedor, “GAS brazil”, é provavelmente mais uma tentativa de enganar os usuários. Há uma empresa legítima chamada GAS Tecnologia que fornece soluções de segurança para bancos, incluindo os infames “plugins” que precisam ser instalados para acessar os sistemas de Home Banking no PC.
O nome do desenvolvedor e o fato de que o app tinha descrição em português faz a ESET acreditar que seu alvo principal eram os usuários brasileiros, embora uma versão “internacional” do malware também tenha sido encontrada.
O Defensor ID foi publicado no Google Play em 3 de fevereiro e sua última atualização, para a versão 1.4, foi em 6 de maio. O malware foi reportado a Google e. 16 de maio, e removido no dia 19. Segundo as estatísticas do Google Play, ele foi baixado pouco mais de 10 vezes.
“Esta foi uma lição valiosa para nós. Com base no que aprendemos sobre o DEFENSOR ID, aprimoramos nossas tecnologias de detecção para também cobrir malware com uma visibilidade tão baixa”, diz Štefanko.
Fonte: Eset