Malware Tekya compromete a segurança da Google Play Store, segundo os Investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder global de soluções de cibersegurança, que alertam para uma nova família de malware que se encontrava disponível em 56 aplicações e que foi descarregada cerca de um milhão de vezes em todo o mundo.
Cabe destacar que 24 destas aplicações (entre as quais se encontravam quebra-cabeças, jogos de corridas, etc …) eram dirigidas ao público infantil, e as restantes eram aplicações de uso geral (aplicações de cozinha, tradutores, etc.). Esta descoberta só foi possível após um mês depois dos investigadores da Check Point descobriram que o malware Haken, que se encontrava em 8 aplicações maliciosas diferentes, tinha sido descarregado e instalado em mais de 50 000 dispositivos Android.
“Para nós, o grande número de downloads em que o cibercriminoso conseguiu infiltrar com êxito no Google Play é surpreendente”, ressalva Eusebio Nieva, diretor técnico da Check Point para Espanha e Portugal. “Ao combinar esta com uma metodologia de infeção relativamente simples, pode-se deduzir que a Google Play Store ainda pode albergar apps maliciosas. Também, é claro que é difícil comprovar se todas e cada uma das aplicações são seguras na Play Store, fazendo com que os utilizadores não podem confiar unicamente nas medidas de segurança da Google Play para garantir a proteção dos seus dispositivos, devem também contar com ferramentas tecnológicas em todos os seus dispositivos”, acrescenta Nieva.
Esta nova família de malware, conhecido como Tekya, é um adclicker, uma ciberameaça na indústria mobile que simula o comportamento do utilizador a clicar sobre ‘banners’ e anúncios de agências como AdMob da Google, AppLovin’, Facebook e Unity com o objetivo de gerar lucros financeiros fraudulentos. Os cibercriminosos por detrás desta campanha clonaram aplicações reais da Store com o objetivo de incrementar a audiência, sobretudo entre crianças, já que a maioria das aplicações onde foi encontrado o malware Tekya são jogos infantis.
Como funciona o Tekya?
Um dos dados mais destacados da investigação levada a cabo pela Check Point revela que o Tekya foi capaz de iludir as medidas de segurança da VirusTotal e Google Play Protect, um sistema desenvolvido pela Google para garantir a segurança do sistema operativo Android. Neste sentido, esta variante de malware camuflava-se como parte do código nativo das aplicações e empregava o mecanismo ‘MotionEvent’ para Android (introduzido em 2019) para imitar as ações do utilizador e gerar cliques.
Por outra parte, quando um utilizador descarregava alguma das aplicações infetadas no dispositivo, automaticamente se registava um receptor (‘us.pyumo.TekyaReceiver’) que permitia levar a cabo distintas ações como “BOOT_COMPLETED” (permite que o código seja executado no arranque do dispositivo, conhecido por “início frio”), “USER_PRESENT” (para detetar quando o utilizador está a utilizar de forma activa o dispositivo) e “QUICKBOOT_POWERON” (para permitir que o código malicioso seja executado depois de reiniciar o dispositivo.
Como se podem proteger os utilizadores face a este tipo de ameaças?
Apesar da Check Point ter revelado esta descoberta à Google e a ameaça já ter sido erradicada, esta situação põe a descoberto, uma vez mais, que os mercados de aplicações em geral, e o Google Play em particular, encontram-se vulneráveis e suscetíveis de ataques de hacking. Atualmente, existem quase 3 milhões de aplicações disponíveis na Store, e contam-se centenas de novos programas que são desenvolvidos e entram neste mercado diariamente, pelo que realmente é difícil poder comprovar a veracidade e segurança de cada aplicação.
Neste sentido, os especialistas da Check Point referem que os utilizadores não podem confiar unicamente nas medidas de segurança do Google Play para garantir a proteção dos seus dispositivos, por isso aconselham a eliminar qualquer tipo de aplicação suspeita e instalar as últimas atualizações do sistema operativo e restantes programas para garantir a segurança do dispositivo. Estes ainda destacam a importância de contar com ferramentas tecnológicas de qualidade para fazer frente a estes ciber-riscos.
Por parte da Check Point os utilizadores podem contar com o SandBlast Mobile, uma solução contra ameaças móveis avançadas com infraestrutura On-device Network Protection. Ao rever e controlar todo o tráfego de rede do dispositivo, o SandBlast Mobile evita os ataques de roubo de informação em todas as aplicações, correio eletrónico, SMS, iMessage e aplicações de mensagens instantâneas. Esta solução, também evita quer o acesso a sites web maliciosos como o acesso e comunicação do dispositivo com botnets, para o qual valida o tráfego no próprio dispositivo sem leitura dos dados através de um gateway corporativo.
Comentários