É um trojan, chama-se Guerrilla e é capaz de ultrapassar a proteção antifraude da Google Play porque se comporta como um humano. A descoberta foi feita pela Kaspersky Lab.
Os peritos da Kaspersky Lab descobriram um trojan de Android chamado Guerrilla, que aprende a ultrapassar os mecanismos de proteção anti-fraude da loja Google Play. O ataque é feito através de uma app fraudulenta que se comporta como se se tratasse de um ser humano.
Por ser uma plataforma para milhões de utilizadores e programadores de software, a Google Play é um alvo muito atrativo para criminosos cibernéticos. Entre outras coisas, estes criminosos usam o Google Play Store para levar a cabo as campanhas Shuabang, já disseminadas na China. Estas campanhas são atividades publicitárias fraudulentas que têm como objetivo promover aplicações legítimas garantindo-lhes avaliações mais altas, aumento dos índices de download e publicação de comentários positivos sobre as mesmas no Google Play.
Ainda que estas campanhas não se apropriem de fundos ou informação do proprietário do dispositivo, há danos importantes a destacar: o download de aplicações adicionais em aparelhos infetados resulta em custos extra de tráfego de internet móvel e em alguns casos as aplicações Shuabang são capazes de instalar em segredo programas pagos juntamente com os gratuitos, utilizando os dados bancários da conta Google Play da vítima como método de pagamento.
Para levar a cabo estas campanhas, os criminosos criam múltiplas contas falsas no Google Play ou infetam vários dispositivos com o malware especial que dissimuladamente leva a cabo ações no Google Play de acordo com as instruções enviadas pelos hackers.
Apesar do Google possuir fortes mecanismos de proteção que ajudam a detetar e bloquear utilizadores falsos e assim prevenir operações fraudulentas, os criadores do trojan Guerilla parecem tentar ultrapassá-los.
Como funciona o ataque? O trojan é instalado no dispositivo-alvo através do Leech Rootkit – um malware que concede aos atacantes privilégios de utilizador sobre o dispositivo infetado. Os hackers têm assim oportunidades ilimitadas para manipular os dados no dispositivo. Entre outros, é possível aceder ao username da vítima, às suas passwords e códigos de autenticação que são obrigatórias para uma aplicação comunicar com os serviços do Google Play, e que de outra forma estariam inacessíveis a aplicações em dispositivos não enraizados (non-rooted). Após a instalação, o trojan Guerilla usa esta informação para comunicar com o Google Play Store como se uma verdadeira aplicação do Google Play se tratasse.
O ponto característico deste trojan é a forma como os criadores do malware tentaram reproduzir o comportamento humano de um verdadeiro utilizador quando interage com a loja. Por exemplo, antes de solicitar a página onde uma aplicação está armazenada, o trojan procura por uma aplicação que lhe interesse, tal como um humano faria, de forma a encontrar a aplicação pretendida.
“Guerilla não é a primeira aplicação maliciosa que tenta manipular o Google Play Store, mas fá-lo de uma forma muito sofisticada nunca antes vista. O pensamento por trás deste método é óbvio: o Google consegue distinguir, provavelmente com facilidade, pedidos ao Google Play que foram feitos por robôs; ora, o malware que procura a aplicação antes de se direcionar à sua página é muito mais difícil de detetar uma vez que é assim que a maioria dos utilizadores do Google Play se comporta”, afirma Alfonso Ramírez, Diretor Geral da Kaspersky Lab Iberia.
Os produtos Kaspersky Lab detetam o malware Guerilla como: Trojan.AndroidOS.Guerrilla.a.
De forma a se proteger a si próprio e aos seus dispositivos móveis dos malwares que atacam especificamente dispositivos Android, os especialistas da Kaspersky Lab aconselham:
– Restringir a instalação de aplicações de fontes que não as app stores oficiais;
– Utilizar soluções de proteção comprovadas para defender o seu dispositivo base Android de malware e outras ameaças cibernéticas;
– Não enraíze o seu Android
Para aprender mais sobre os métodos que os criminosos cibernéticos usam para abusar do Google Play Store, basta ler o post no blog em Securelist.com.
