Os investigadores da ESET observaram que uma grande quantidade de aplicativos móveis no Google Play (apps legítimos, adware e malware) estavam aplicando técnicas de engenharia social para melhorar a sua própria qualificação na loja virtual.

Entre os aplicativos, que contavam com qualificações positivas (parte do golpe), foi possível descobrir um trojan que apresentava janelas de publicidade e que foi instalado por pelo menos 5.000 usuários (acreditando ser uma ferramenta para baixar conteúdos do YouTube). O aplicativo, detectado pela ESET como Android/Hiddad.BZ, utilizava uma série de métodos para enganar às vítimas, fazendo com que os usuários instalassem esse componente intrusivo de visualização de anúncios, ao mesmo tempo que também garantiam uma ótima qualificação na loja.

Para conseguir isso, a ameaça abria uma grande quantidade de telas (bastante incômodas) com anúncios publicitários, dizendo ao usuário que os eliminaria todas as mensagens caso fosse dada uma qualificação de cinco estrelas para o aplicativo no Google Play.

No entanto, esse incentivo para obter uma boa classificação não foi nada mais do que uma falsa promessa, uma vez que não há nenhuma forma para que os desenvolvedores possam vincular uma opinião específica com o usuário que dê determinada qualificação. Por isso, evidentemente não era possível "recompensar" aqueles que deixam cinco estrelas. Além disso, com ou sem compensação, qualquer aplicativo que promete ao usuário algo em troca de uma boa classificação está violando a Política de Desenvolvedores do Google Play.

Mais falsas promessas no Google Play

A recente investigação realizada pela ESET também detectou que foram utilizadas técnicas semelhantes para enganar aos usuários em vários apps publicitários no Google Play, com um total de quase 800.000 instalações.

Esses aplicativos “obrigavam” aos usuários a deixarem altas qualificações sob vários pretextos, que por sua vez também aumentava a probabilidade de que mais pessoas realizassem o download do app no futuro. O que os aplicativos têm em comum é uma funcionalidade geralmente inexistente; as telas pop-up que solicitam a classificação de cinco estrelas para continuar, desbloquear a funcionalidade completa ou remover anúncios; e uma classificação ilogicamente alta.

Um dos melhores exemplos é o falso jogo Subway Surf do Sonic Jump, que exige que os usuários deem cinco estrelas para poder avançar no suposto jogo, enquanto anúncios eram exibidos (um após o outro). Dessa forma, o aplicativo (que já foi instalado por cerca de 500.000 usuários) ficava com uma média de 4.1 e uma combinação ambígua de classificações de cinco estrelas seguidas por comentários de usuários irritados, que afirmam ter dado essa pontuação "apenas porque foram obrigados".

1

Imagem 1: Comentários ambíguos relacionados ao Subway Sonic Surf Jump.

Da mesma forma, os aplicativos mais populares (pelo menos quando nos baseamos em sua classificação média) Anime Wallpapers HD e Latest online movies oferecem recursos sem a necessidade de dar cinco estrelas em troca. Tal como acontece com o Subway Sonic Surf Jump, no qual o engano se torna visível após a leitura de comentários dos usuários frustrados.

2

Imagem 2: Telas que solicitam cinco estrelas em troca de alguma funcionalidade.

Em alguns casos, o incentivo para a qualificação costuma ocorrer em jogos reais (mas um pouco suspeitas), onde os desenvolvedores simplesmente premiam os usuários que clicam em OK/RATE APP (Aceitar/Qualificar app) na tela, independente de qual classificação será dada. No entanto, isso não corresponde aos aplicativos destacados neste post, que são totalmente falsos e não cumprem com as promessas, independentemente do que o usuário faça.

Análise do Android/Hiddad.BZ

A ameaça detectada como Android/Hiddad.BZ foi encontrada no Google Play em sete versões diferentes, com os nomes "Tube.Mate" ou "Snaptube", ligeiramente modificados. Uma vez instalados, os sete aparecem como "Music Mania" na lista de aplicativos do usuário.

O comportamento também é semelhante: a funcionalidade de baixar conteúdos do YouTube é combinada com um dropper. A ESET informou a existência dos aplicativos no último dia 27 de fevereiro e, consequentemente, o Google os excluiu da loja.

3

Imagem 3: Trojans no Google Play.

4

Imagem 4: Alta qualificação do trojan no Google Play.

 Como funciona?

Após o usuário iniciar o aplicativo baixado, clicando no ícone "Music Mania", o componente de exibição de publicidade é carregado. Neste momento, manifesta-se como uma falsa tela do sistema que solicita a instalação do complemento "plugin android", sobreposto a tela até que o usuário o ative.

Ao clicar no botão de instalação, o payload de exibição de anúncios publicitários é instalado. Em seguida, é solicitado que o usuário ative os direitos de administrador do dispositivo, necessários para o "complemento" falso. Para esse processo, outra tela (que não pode ser cancelada) é reutilizada.

5-576x1024

Imagem 5: Componente para mostrar publicidades que se passam pelo complemento “plugin android”.

6-576x1024

Imagem 6: Componente que mostra publicidades e solicita direitos de administrador dos dispositivos.

Imediatamente após a concessão dos direitos, o aplicativo exibe uma tela cheia de publicidades e pede ao usuário que a qualifique com cinco estrelas "para remover todos os anúncios." Se a vítima tenta cancelar a mensagem, são criados ainda mais anúncios no dispositivo. O objetivo desse processo é que o usuário possa qualificar o aplicativo na próxima vez que a mensagem for exibida.

7-576x1024

Imagem 7: Trojan que apresenta publicidades e exigem ao usuário que qualifique o app com cinco estrelas.

8

Imagem 8: Publicidades nas telas sobrepostas que são apresentadas quando o usuário cancela a solicitação para qualificar o app.

Como posso desinfetar o dispositivo?

Se você já baixou esse aplicativo, será possível visualizar os nomes "Music Mania" e "plugin android" na seção Administrador de aplicativos, onde o "plugin android" é o payload responsável pelos anúncios exibidos. Você também pode encontrar a "Autorização necessária", na opção Administradores de dispositivos.

A desinstalação do aplicativo original em Configurações → Administrado de aplicativo → Music Mania não é suficiente para remover o payload baixado. Para remover completamente o Android/Hiddad.BZ do dispositivo, desative os direitos de administrador do dispositivo em Configurações → Segurança → Administrador de dispositivos → Permissão requerida. Em seguida, desinstale o payload em Configurações → Administrador de aplicativos → plugin android.

Outra alternativa é usar uma solução de segurança móvel confiável para detectar e remover as ameaças.

9-576x1024

Imagem 9: O payload se mostra entre os Administradores de dispositivos ativos.

10-576x1024

Imagem 10: O payload aparece no Administrador de aplicativos.

Como estar seguro?

Considerando que os aplicativos maliciosos enganam aos usuários para manipular o sistema de classificação do Google Play, pode-se questionar a repetida dica de "olhar a classificação antes de baixar".

A dica continua válida, embora não sirva apenas olhar a classificação. Para que você tenha uma real ideia do que um aplicativo oferece ou não, leia também os comentários de outros usuários. Como foi demonstrado nos casos analisados neste post, as vítimas tendem a ser honestas quando escrevem um comentário, embora seja apenas para dizer que o app as obrigou a indicar cinco estrelas na qualificação do mesmo.

Vídeo de um dispositivo infectado

[embed]https://www.youtube.com/watch?time_continue=13&v=Xm-2btoDag0[/embed]

 

 Amostras

10-3-2017 11-56-21 a- m-