Falso jogo para Android esconde uma ameaça de acesso remoto

Falso jogo para Android esconde uma ameaça de acesso remoto

Recebemos de um dos nossos seguidores no Facebook uma notificação de algo que parecia ser uma ameaça que tentava infectar o seu dispositivo móvel.

Recebemos de um dos nossos seguidores no Facebook uma notificação de algo que parecia ser uma ameaça que tentava infectar o seu dispositivo móvel.

No início desta semana, recebemos de um dos nossos seguidores no Facebook uma notificação de algo que parecia ser uma ameaça que tentava infectar o seu dispositivo móvel. Na realidade, o que mais me chamou a atenção (ao analisar) foi o fato de se tratar de um trojan que tentava se esconder por meio de um jogo chamado FrontLine Commando D-Day… o qual também estive jogando durante um tempo no meu celular.

FalsosJuegosAndroid_1-768x748

Para saber de onde vinha o aplicativo malicioso, chegamos a uma loja não oficial, onde estava o link de download. No entanto, na descrição parecia que não se tratava unicamente do aplicativo normal; dizia conter uma boa quantidade de armas e recursos ilimitados, o que em outras palavras seria um êxito total para qualquer jogador (embora um êxito bastante trapaceiro).

No entanto, aqueles que chegaram a esse ponto e tentaram baixar o aplicativo se encontraram com duas opções: a primeira, ir à loja oficial do Google para baixá-lo de maneira legítima; ou por meio de um link a um serviço (bastante conhecido) para compartilhar arquivos.

FalsosJuegosAndroid_2-768x599

Até esse ponto, a decisão de continuar adiante com o download depende apenas do usuário: ir ao site oficial e baixar o aplicativo oficial, ou ir a um repositório não controlado e baixar o APK, esperando transformar-se em um poderoso jogador.

Ao acessar à página de download, algo me chamou a minha atenção: o tamanho do arquivo.

FalsosJuegosAndroid_3

 

Esse jogo precisamente se caracteriza por ter um tamanho bastante grande, já que o arquivo original pesa mais de 300MB, mas essa falsa versão não representa nem 5% da verdadeira. Nesse ponto já existem vários sinais que nos permitem identificar que estamos diante de algo malicioso, mas lamentavelmente é possível que um usuário muito descuidado ou desesperado por adquirir benefícios para esse jogo continue tentando executá-lo.

Depois que o falso aplicativo é instalado, aparece uma mensagem de erro no dispositivo, dizendo que o download falhou porque os recursos não foram encontrados:

FalsosJuegosAndroid_4-768x346

No entanto, o aplicativo realiza uma série de ações maliciosas sobre o dispositivo que o deixam susceptível de ser controlado de maneira remota por um atacante. Se verificarmos as permissões que o aplicativo solicita, podemos dar conta do real alcance que pode ter uma ameaça desse tipo, que começou com o simples download de um suposto jogo.

FalsosJuegosAndroid_5

Por exemplo, com a permissão 1 a ameaça consegue persistência no equipamento, fazendo com que volte a ser executada cada vez que o dispositivo é reiniciado.

Com o grupo de permissões identificado como 2, o atacante pode tomar o controle das mensagens SMS que entram e saem do dispositivo. E com as permissões 3 e 4 pode controlar o microfone e a câmera do dispositivo.

Se observarmos um pouco mais, descobriremos que a ameaça pode escrever e ler informações do dispositivo e do cartão de memória externa, e que também tem permissões sobre as ligações e os contatos. Em outras palavras, o atacante consegue ter o controle remoto do equipamento.

Nesse caso, o arquivo baixado é uma variante de uma ameaça detectada pelas soluções da ESET como Android/Spy.AndroRAT.

Propagação da ameaça

Dando continuidade à analise em nossos sistemas, descobrimos detecções dessa amostra apenas em países da América Latina, pontualmente no Brasil e Argentina.

Por outro lado, é interessante notar que esse aplicativo malicioso apenas pode ser instalado em algumas versões particulares do SDK Android, particularmente aquelas compreendidas entre a 7 e a 16. Ou seja, até a atualização conhecida como Jelly Bean na sua primeira versão (4.1.x).

FalsosJuegosAndroid_6

Então fique tranquilo se você possui uma versão posterior, tendo em conta que a última atualização é a 23, correspondente a Marshmallow.

No entanto, 10% dos dispositivos ainda utilizam versões vulneráveis a esse tipo de ameaças. Pelas dúvidas, nunca é demais dar uma olhada na versão que você possui instalada no seu dispositivo.

Lições aprendidas

Quando nos reportam esse tipo de amostra, há várias questões que se nos vem à mente. A primeira delas tem a ver com o esquema utilizado pelos atacantes: por que utilizam ameaças que afetam versões do Android com atualizações de cinco anos atrás? A resposta é simples: porque ainda existem vários usuários com dispositivos vulneráveis que podem cair facilmente nesse tipo de golpe.

A segunda é como evitar que continue fazendo vítimas, e também sabemos a resposta: ajudando a conscientizar sobre ameaças, seus riscos e as formas de evitá-las, assim como fazemos neste Blog.

Ainda nos resta muito trabalho, já que existem muitos usuários que podem ver a sua informação facilmente comprometida, mas o convite é para que possamos fechar essas brechas. Com ações tão simples como manter atualizado o dispositivo, ter uma solução de segurança instalada e ser cuidadoso com o que baixamos, podemos estar protegidos.

Imagem: ©Gerolf Nikolay/Flickr.

Discussão