Cuidado: supostos apps de segurança apenas exibem publicidade

Cuidado: supostos apps de segurança apenas exibem publicidade

Pesquisadores da ESET analisaram um novo conjunto de aplicativos recentemente descobertos na Google Play, que são identificados como aplicativos de segurança. Mas, em vez de segurança, o que eles realmente fazem é exibir publicidade indesejada e uma pseudo-segurança ineficaz.

Pesquisadores da ESET analisaram um novo conjunto de aplicativos recentemente descobertos na Google Play, que são identificados como aplicativos de segurança. Mas, em vez de segurança, o que eles realmente fazem é exibir publicidade indesejada e uma pseudo-segurança ineficaz.

De acordo com a AV-Comparatives, uma organização independente responsável por realizar testes em diferentes produtos antivírus, existem diferenças significativas no nível de proteção oferecido por diferentes soluções de segurança para dispositivos móveis. No entanto, mesmo as mais simples ainda são melhores do que os supostos aplicativos ​​que se apresentam como aplicativos de segurança para mostrar publicidade aos usuários. Ao total, 35 aplicativos desse tipo foram descobertos recentemente na Google Play.

Esses aplicativos passaram despercebidos por alguns anos, com estatísticas na Google Play que indicavam um acumulado de seis milhões de download. No entanto, esses números não refletem necessariamente os downloads reais: é uma prática comum fazer downloads falsos por bots que, imediatamente depois, marcam uma classificação positiva, melhorando a avaliação geral do aplicativo.

Os 35 aplicativos foram denunciados pela ESET e, por fim, foram removidos da loja.

Imagen 1 - Las 35 aplicaciones dudosas en Google Play

Imagem 1 – 35 apps suspeitos na Google Play

Além de incomodar as vítimas com publicidade, acreditar que esses aplicativos funcionam como soluções de segurança também têm sérios efeitos negativos. Ao imitar as funções básicas de segurança – na verdade, todas os apps atuam como soluções de segurança baseadas em algumas regras de código triviais -, muitas vezes, as soluções detectam aplicativos legítimos como maliciosos. Além disso, esses apps criam uma falsa sensação de segurança nas vítimas, deixando-as expostas a riscos reais de aplicativos maliciosos que não são detectados como tais.

As análises da ESET mostraram que, dos 35 aplicativos analisados, apenas alguns foram destacados pelas funções especificadas: um app não é totalmente gratuita, uma vez que oferece uma versão “melhorada”, mas paga; outro aplicativo implementou um gerenciador básico de bloqueio de apps com a capacidade de desativá-lo facilmente; outro aplicativo alerta sobre outros apps (do grupo dos 35) como perigoso por padrão; e, para finalizar, foi encontrado um caso de uso indevido da marca ESET.

Imagen 2 - Una de las 35 apps detectando a otra aplicación similar como una amenaza de "alto riesgo"

Imagem 2 – Um dos 35 apps detectado o outro aplicativo semelhante como uma ameaça de “alto risco”

Imagen 3 - Una de las aplicaciones alertandose a sí misma como de "alto riesgo"

Imagem 3 – Um dos apps identificando a si mesmo como app de “alto risco”

Imagen 4 - Una de las aplicaciones ofreciendo suscribirse al "plan Pro"

Imagem 4 – Um dos apps oferecendo inscrição para o “plano Pro”

Imitação da funcionalidade de segurança

Para não atrair muita atenção, todos os aplicativos que exibem publicidade tentam imitar as verdadeiras soluções de segurança para dispositivos móveis. No entanto, seus mecanismos de detecção são incompletos e/ou são extremamente básicos, o que os tornam fáceis de burlar e propensos a detectar falsos positivos.

Nossa pesquisa sobre esses aplicativos mostrou que seus “mecanismos de detecção” podem ser divididos em quatro categorias. Por sua vez, esses mecanismos são idênticos ou quase idênticos em todas as aplicações.

1) Lista em preto e branco do nome do serviço

Essa “lista branca” inclui aplicativos populares como Facebook, Instagram, LinkedIn, Skype e outros. A “lista negra” contém poucos elementos para ser considerada uma funcionalidade de segurança.

Imagen 5 – Creando una lista blanca (Whitelisting) de aplicaciones populares

Imagem 5 – Criando uma lista branca (Whitelisting) de apps populares

2) Gerenciamento de permissões

Alertas em todos os aplicativos (incluindo os legítimos) em caso de necessidade de permissões consideradas perigosas, como envio e recebimento de SMS, acesso a dados de localização, acesso à câmera, etc.

Imagen 6 – Lista negra de permisos

Imagem 6 – Lista negra de permissões

3) De acordo com a fonte

Todos os aplicativos, exceto os da Google Play, são observados, mesmo que sejam completamente legítimos.

4) De acordo com a presença de atividades na lista negra

Todos os aplicativos que contêm alguma funcionalidade, como parte do aplicativo, incluídos na lista negra de atividades. Isso se refere principalmente a algumas funcionalidades de exibição de publicidade.

Fique atento a todos os aplicativos que contenham qualquer uma das atividades incluídas na lista negra, ou seja: pacotes de aplicativos que são usados ​​em aplicativos. Esses pacotes podem lidar com funcionalidades adicionais (geralmente exibindo publicidade).

Embora não haja nada de errado com algumas das atividades da lista negra, o problema é que nesses aplicativos duvidosos a implementação dessas atividades é feita de maneira descuidada. Por exemplo, o Google Ads está incluído na lista negra, apesar de ser um serviço legítimo. E, apesar disso, esse serviço é implementado em todos os aplicativos suspeitos que analisamos.

Imagen 7 - Lista negra de actividad

Imagem 7 – Lista negra de atividade

“Funcionalidades” de segurança extras

Alguns aplicativos de segurança suspeitos podem proteger os apps do usuário por meio de uma senha ou padrão de desbloqueio. A ideia por trás dessa funcionalidade aparentemente útil é fornecer ao usuário uma camada adicional de segurança nos aplicativos escolhidos.

No entanto, devido a implementações inseguras, essa funcionalidade também é falha na hora de fornecer uma verdadeira segurança para o usuário.

O problema é que informações importantes não são armazenadas com segurança no dispositivo – em vez de usar criptografia, que é uma prática comum na área de cibersegurança, esses aplicativos armazenam os nomes de aplicativos e senhas bloqueados para desbloqueá-los como código simples.

Isso significa que os dados podem ser acessados ​​quando o dispositivo está “rooteado”.

Apesar de comprometer dados não criptografados ao “rootear” o telefone, existe outra alternativa para evitar o bloqueio do aplicativo. Um cibercriminoso com acesso físico ao dispositivo pode modificar a senha de bloqueio sem saber como era a senha antiga.

Imagen 8 – Funcionalidad de bloqueo de una de las apps cuestionables donde se puede apreciar cómo almacena información del usuario en texto plano

Imagem 8 – Função de bloqueio de um dos apps duvidosos, onde é possível visualizar o armazenamento de informações do usuário em um texto simples

Conclusão

Ter uma solução de segurança instalada em um dispositivo com o Android é definitivamente algo positivo. No entanto, nem todas as funções de “segurança” ou “antivírus” dos aplicativos cumprem com o que prometem.

Os 35 pseudo-aplicativos de segurança descritos neste artigo não representam uma ameaça, como o ransomware ou outro tipo de malware poderoso. O único dano que causam é exibir publicidade irritante, fazer detecções falsamente positivas e dar aos usuários uma falsa sensação de segurança. No entanto, esses milhões de usuários inconscientes que os baixam podem facilmente acabar baixando um malware real disfarçado de maneira semelhante.

Em vez de aplicativos suspeitos com nomes atraentes e extravagantes, e promessas com poucos fundamentos, é melhor procurar uma solução de segurança que seja mais conhecida. E qual devo escolher? Pode ser bastante útil ter em conta um teste independente realizado por uma empresa especialmente voltada para isso.

IoCs

Nome de detecção da ESET :

Android/Blacklister.A application potentially unwanted

App NamePackage NameInstalls
Virus Cleaner Antivirus 2017 - Clean Virus Boostercom.sta.viruscleaner.antivirus1,000,000+
Super Antivirus & Virus Cleaner (Applock, Cleaner)com.superantivirus.mobilesecurity1,000,000+
hAntivirus - Securitycom.noah.antivirus1,000,000+
Antivirus Security freecom.xplusapps.antivirus.free500,000+
Antivirus 2018com.gotechgo.antivirus.mobilesecurity2018500,000+
Antivirus Cleancom.mobileapp.virus500,000+
Security Antivirus 2018muel.security.antivirus500,000+
Max Security - Antivirus&Booster &Cleanercom.stranger.maxsecurity500,000+
Antivirus Cleaner - Virus Scanner And Junk Removercom.applock.security.viruscleaner100,000+
Antivirus Security Freecom.rgamewall.anti2018100,000+
Antivirus Cleaner For Android & App Locker Patterncom.antivirusforandroid.freeapp100,000+
Antivirus Securitydhl.freesecure100,000+
Smadav antivirus for android 2018com.smallapp.antivirus50,000+
Antivirus Free : Process Viruscom.greenbooster.process50,000+
TV Antivirus Free + Applocktoto.prosecurity50,000+
Antivirus Virus Cleaner - Security Applock 2017com.viruscleaner.antivirus.security50,000+
Super Security-Anti Virus, Phone Cleaner & Boostercom.supersecurity.cleaner10,000+
Antivirus Free + Virus Cleaner + Security Appantivirus.cleaner.security.scanner10,000+
Antivirus Pro - Virus Cleaner - Boost Mobile freecom.fantabulous.antiviruspro.viruscleaner10,000+
Virus Clean Antivirus - Cpu Cooler & Ram Mastercom.msysoft.viruscleaner.cleanvirus10,000+
360 Secure Antiviruscom.ufgames.antivirus10,000+
Antivirus Cleaner Boostercom.best.apps.collection.antivirus10,000+
Antivirus Android 2018com.looptoop.antivirus.android201810,000+
Antivirus & Virus Remover 2018com.glagahstudio.viruscleaner.booster10,000+
Antivirus Free 2018com.lalbazai.antivirus.mobilesecurity20185,000+
Kara Security Manager Antiviruskara.securitymanager.antivirus5,000+
Security Antivirus 2018jts.security.mobile5,000+
Antivirus & Virus Cleaner & Securityoriwa.antivirus.cleanvirus5,000+
Master Antivirus Booster App Lockcom.boostercleaner.antivirus.mobilesecurity5,000+
Virus Cleaner - Antivirus,Booster,Security&AppLockcom.radiantappsworld.securityantivirus5,000+
Smart Security Antivirus & Applocker & Cleanerorg.orangina.antivirusmobilesecurity1,000+
Antivirus 2017 & Virus Removalcom.bsm.multisecurity1,000+
Energy Antivirus Cleanercom.energy.antivirus.cleaner1,000+
Antivirus Master-Applock Procom.octa.anti.antivirus500+
AntiVirus Mobile Security for Android - Freecom.mobicluster.mobile.security.antivirus100+

Discussão