Após a divulgação de uma lista contendo 15 aplicativos que podem estar escondidos nos aparelhos Android, uma nova ameaça foi descoberta. Esse aplicativo em questão, é bastante conhecido, e deve estar instalado em diversos aparelhos. Trata-se do SnapTube.

O aplicativo permite fazer o download de vídeos do YouTube e do Facebook. Ele não está disponível na Google Play Store, porém, isso não impediu que ele fosse instalado mais de 40 milhões de vezes, sendo esse número correspondente apenas a seu site oficial, sem contar os que podem ter sido instalados por meio de sites de terceiros.

O problema dele, ao que tudo indica, é que, quando o usuário instala o aplicativo, ele se ocupa fazendo outras coisas em segundo plano – essencialmente enganando os usuários e rodando anúncios escondidos para gerar dinheiro, além de fazer assinaturas sem o consentimento dos donos dos aparelhos.

A descoberta foi feita pela equipe de pesquisadores da Upstream, que afirma que sua plataforma de segurança, a Secure-D, detectou e bloqueou “mais de 70 milhões de solicitações suspeitas” vindas do SnapTube. Essas solicitações foram originadas de 4,4 milhões de dispositivos diferentes. Elas eram realizadas até mesmo quando o telefone não estava em uso, ou seja, os usuários não tinham nenhum tipo de controle da situação.

De acordo com a Upstream, “o SnapTube está fornecendo anúncios invisíveis, gerando cliques e compras não autorizadas pelos usuários”. A empresa calculou que essas transações fraudulentas teriam custado aos usuários até US$ 91 milhões.

O SnapTube foi desenvolvido pela Mobiuspace, sediada na China, que já lançou diversos aplicativos na Play Store do Google. O SnapTube, no entanto, não obteve aprovação para ser incluído na loja de apps.

Descoberta das atividades suspeitas

A fraude foi descoberta quando a equipe da Upstream identificou “volumes extremamente desproporcionais de transações suspeitas originadas de vários países vindos do mesmo aplicativo Android”.

A equipe interceptou algumas mensagens de SMS de verificação de assinatura. Essas mensagens tinham como destino aparelhos com o SnapTube instalado – a verificação por SMS é uma parte do processo de compra de novas assinaturas.

Com as suspeitas levantadas, a equipe passou a monitorar os dispositivos supostamente infectados. Para isso, eles isolaram esses aparelhos e observaram todo seu tráfego de entrada e saída. A análise mostrou que o SnapTube “estava se comunicando com um servidor de comando e controle para identificar serviços de assinatura e depois tentar inscrever o usuário nesses serviços.”

SnapTube se defende

A empresa responsável pelo aplicativo argumenta que a fraude está relacionada ao Mango SDK, um kit de ferramentas de desenvolvimento de aplicativos presente do software. Em um comunicado publicado pelo site TechCrunch, um porta-voz do SnapTube afirmou que o malware operou sem o conhecimento da empresa. “Não percebemos que o Mango SDK estava exercendo atividades de fraude de anúncios, o que nos trouxe uma grande perda de reputação. As versões disponíveis em nosso site oficial e em nossos canais de distribuição já estão livres desse problema.”

Mesmo após a declaração, especialistas do setor orientam que os usuários desinstalem o SnapTube, já que essa não é a primeira vez que o aplicativo está envolvido em práticas de geração de cliques.

A equipe de segurança da Sophos divulgou, em fevereiro, uma investigação que apontava o SnapTube como um aplicativo que “gerou mais de 200 conexões de rede em menos de 120 segundos, sem nenhuma interação dos usuários. O tráfego de rede mostra que o aplicativo baixa ‘plugins’ de anúncios adicionais, envia informações de dispositivos e informações pessoais para sites de terceiros.”

O CEO da Upstream, Guy Krief, aconselha que os usuários “observem cuidadosamente as contas telefônicas e relatem à sua operadora todas as assinaturas e cobranças que não autorizaram. O Upstream encoraja que os usuários excluam o aplicativo de seus telefones caso encontrem qualquer sinal de atividade irregular”.

Via: Forbes