Mais de 14 milhões de dispositivos com Android foram infectados em uma campanha de adware que gerou aproximadamente US$ 1,5 milhão (R$ 4,9 milhões) para os cibercriminosos e teve o Brasil entre seus alvos principais.

O golpe foi descoberto pela Check Point, que informou o Google em março deste ano. A dona do sistema já deu um jeito no problema, mas o pico da ação ocorreu entre abril e maio de 2016 — e a empresa de segurança acredita que muitos aparelhos permaneçam infectados.

O que é e como opera

A campanha foi apelidada pela Check Point de “CopyCat”. Ela depende de que a pessoa instale um aplicativo de uma loja independente (não há evidências de que o Google Play tenha servido ao golpe) ou caia numa ação de phishing — quando você é aliciado a clicar, baixar e instalar o que não deveria. O app contaminado poderia ser cópia de algum serviço famoso, o que ajuda a enganar as vítimas.

Uma vez instalado, o CopyCat espera pelo momento em que o usuário reinicie seu dispositivo. Feito isso, ele baixa uma atualização com ferramentas para fazer “root”; se conseguir, o app instala um componente ao diretório de sistema que estabelece persistência, tornando sua remoção mais difícil.

Depois, o CopyCat injeta um código no “Zygote”, o processo por trás do lançamento de todos os aplicativos no Android. A partir daí, ele chega ao processo “system_server” e conquista poder sobre todos os serviços do sistema operacional.

Tudo isso permite que o CopyCat passe a exibir publicidade e roube créditos pela instalação de aplicativos. Além disso, por ter roteado o dispositivo, o adware é capaz de instalar outros apps fraudulentos.

Quem está por trás disso e quem foi afetado

A Check Point notou o golpe porque um celular da sua rede foi infectado. Por meio de engenharia reversa, a empresa descobriu que mais de 14 milhões de dispositivos estavam sob poder dos criminosos. Desses, 8 milhões (54% do total) haviam sido roteados, 3,8 milhões (26%) viram publicidade fraudulenta por causa do golpe e 4,4 milhões (30%) foram usados para roubo de créditos por instalação de apps.

Quase 100 milhões de anúncios foram exibidos para as vítimas, e houve 4,9 milhões de instalações fraudulentas de aplicativos por causa do CopyCat.

Índia (3,8 milhões), Paquistão (1 mi), Bangladesh (1 mi), Indonésia (1 mi) e Myanmar (610 mil) foram os cinco países mais afetados, mas o Brasil está dentro do top 10, já que foi o sétimo maior mercado para os responsáveis pelo CopyCat — 394,8 mil dispositivos foram infectados em terras tupiniquins.

Embora a Ásia tenha sido a região mais afetada, concentrando 55% das vítimas, a China quase não foi impactada, e a Check Point acredita que isso se deva ao fato de que os criminosos venham de lá. Há algumas ligações entre o golpe e a rede de anúncios MobiSummer, mas a empresa de segurança faz uma ressalva: “Embora essas conexões existam, isso não significa necessariamente que o malware tenha sido criado pela companhia, e é possível que os golpistas por trás disso tenham usado código e infraestrutura da MobiSummer sem o conhecimento da empresa.”

O que fazer para se manter seguro

Como notou a Check Point, o Google Play não serviu como meio para o ataque, mais um indicativo de que usar lojas independentes para baixar aplicativos traz riscos para o dono do aparelho.

Além disso, a altíssima taxa de sucesso em termos de root, com mais de 54% dos dispositivos atacados tendo sido roteados, mostra que é imprescindível manter o sistema o mais atualizado possível. Os criminosos conseguiram tamanha infiltração usando falhas antigas que só atingem versões do Android anteriores à 5 — e todas já foram corrigidas.

Resumindo: evite baixar apps fora da loja oficial e mantenha seu dispositivo atualizado.