Malware com múltiplas etapas de execução se infiltra na Google Play Store

Outro conjunto de aplicativos maliciosos conseguiu entrar na loja oficial do Android, a Google Play Store. Detectados pela ESET como Android/TrojanDropper.Agent.BKY, esses aplicativos formam uma nova família de malware para Android com habilidades de execução em diversas etapas e a possibilidade de fazer com que a atividade maliciosa ocorra de forma mais lenta.

Descobrimos oito aplicativos desta família de malwares na Google Play Store e notificamos a equipe de segurança do Google sobre o problema. Em consequência disso, os oito aplicativos foram removidos e já não estão mais disponíveis na loja virtual. Os usuários com o Google Play Protect ativado estão protegidos por meio deste mecanismo.

Figura 1: Seis dos apps maliciosos descobertos na Google Play Store.

Nenhum dos aplicativos chegou a atingir mais de algumas centenas de downloads. Independentemente disso, seus recursos avançados para evitar a detecção tornam essa família de malware bastante interessante para ser analisada.

Recursos anti-detecção

Essas amostras possuem uma estrutura de execução em diversas etapas e usam criptografia em ambos os casos para permanecerem fora do radar.

Depois de serem baixados e instalados, esses aplicativos não solicitam permissões suspeitas e, inclusive, imitam a atividade que o usuário espera de um app legítimo.

Além disso, o aplicativo malicioso também decodifica e executa seu payload, ou seja, o payload do primeiro estágio. Este é responsável por desencriptar e executar o payload do segundo estágio, que é armazenada nos recursos do aplicativo inicial baixado da Google Play Store. Essas etapas são invisíveis para o usuário e servem como medidas de ofuscação.

Figura 2: Modelo de execução do Android/TrojanDropper.Agent.BKY

O payload da segunda etapa contém uma URL hardcodeada, pela qual baixa outro aplicativo malicioso (ou seja, o payload do terceiro estágio) sem o conhecimento da vítima. Após um atraso pré-determinado de aproximadamente cinco minutos, surge uma solicitação para a instalação do aplicativo baixado.

O app descarregado pelo payload da segunda etapa é camuflado como o conhecido software Adobe Flash Player ou como algo aparentemente legítimo, mas é completamente fictício, por exemplo, “Android Update” ou “Adobe Update”. Em todos os casos, o objetivo deste aplicativo é baixar o payload final e obter todos as permissões que precisam para o envio de ações maliciosas.

Figura 3: Pedido de intalação do payload da terceira etapa.

Uma vez instalado e com as permissões concedidas, o aplicativo malicioso, que funciona como payload de terceiro etapa, desencripta e executa o payload do quarto etapa (o final).

Em todos os casos que pesquisamos, o payload final era um trojan bancário para dispositivos móveis. Uma vez instalado, o app passa a ter um comportamento malicioso típico deste tipo de ameaça: apresenta para o usuário falsos formulários de login com o intuito de roubar credenciais ou detalhes do cartão de crédito.

Um dos aplicativos maliciosos baixa o payload final usando o encurtador de URL bit.ly. Graças a isso, conseguimos obter estatísticas de download: até o dia 14 de novembro de 2017, o link havia sido usado cerca de 3.000 vezes, com grande parte dos usuários provenientes dos Países Baixos.

Figura 4: Estatísticas de download para o payload final de um dos apps maliciosos, em 14 de novembro de 2017.

Duas das amostras mais recentes do Android TrojanDropper.Agent.BKY foram descobertas baixando o MazarBot, um trojan bancário notório ou spyware.

Considerando a sua natureza, este downloader pode executar qualquer payload escolhido pelos criminosos, desde que não seja detectado pelo mecanismo Google Protect.

Como se livrar desta ameaça?

Se você baixou algum desses aplicativos, é necessário desativar os direitos de administrador do payload instalado, desinstalar tudo que foi baixado silenciosamente e, principalmente, o app da Google Play.

  • Para desativar os direitos de administrador do payload instalado, as opções variam de acordo com a versão do Android, mas o importante é conseguir chegar na lista de administradores. Por exemplo, ConfiguraçõesSegurançaOutras configurações de segurançaAdministradores de dispositivos e procure por Adobe Flash Player, Adobe Update ou Android Update.
  • Para desinstalar o payload instalado, vá para ConfiguraçõesAplicativos e procure por Adobe Flash Player, Adobe Update ou Android Update para desinstalá-los.
  • Para desinstalar o aplicativo malicioso baixado da Google Play, vá para ConfiguraçõesAdministrador de Aplicativos e procure os seguintes apps: MEX Tools, Clear Android, Cleaner for Android, World News, WORLD NEWS, World News PRO, Игровые Автоматы Слоты Онлайн o Слоты Онлайн Клуб Игровые Автоматы.

Como estar protegido?

Graças as funcionalidades de ofuscação, os downloaders de diversas etapas têm mais chances de se infiltrar em lojas oficiais do que o malware para Android tradicional.

Para estar protegido, não confie apenas nas proteções da loja virtual, pois é fundamental estar atento aos comentários e a pontuação dos usuários. Além disso, cuidado com as permissões solicitas e, para finalizar, use uma solução de segurança para dispositivos móveis que seja capaz de detectar ameaças de forma proativa.

IoCs

   
Nome do pacoteDisponíveisInstalaçõesHash
com.fleeeishei.erabladmounsem16 de outubro de 20171,000 – 5,0009AB5A05BC3C8F1931A3A49278E18D2116F529704
com.softmuiiurket.cleanerforandroid3 de outubro de 201750 - 1002E47C816A517548A0FBF809324D63868708D00D0
com.expjhvjhertsoft.bestrambooster29 de setembro de 2017500 – 1,000DE64139E6E91AC0DDE755D2EF49D60251984652F
gotov.games.toppro7 de outubro de 20171,000 – 5,0006AB844C8FD654AAEC29DAC095214F4430012EE0E
slots.forgame.vul6 de outubro de 201710 - 50C8DD6815F30367695938A7613C11E029055279A2
com.bucholregaum.hampelpa9 de outubro de 2017100 - 50047442BFDFBC0FB350B8B30271C310FE44FFB119A
com.peridesuramant.worldnews19 de outubro de 2017100 - 500604E6DCDF1FA1F7B5A85892AC3761BED81405BF6
com.peridesurrramant.worldnews20 de outubro de 2017100 - 500532079B31E3ACEF2D71C75B31D77480304B2F7B9

Domínios hardcodeados que hospedam links nos payloads da terceira etapa

loaderclientarea24.ru
loaderclientarea22.ru
loaderclientarea20.ru
loaderclientarea15.ru
loaderclientarea13.ru

Autor Lukas Stefanko, ESET

Siga-nos