Aplicativos Android Com 1,5M de Instalações Pegos Enviando Dados de Usuários Para a China

Pesquisadores de segurança da Pradeo detectaram dois aplicativos de spyware se passando por aplicativos de gerenciamento de arquivos escondidos na Google Play Store e afetando até 1,5 milhão de usuários Android.

De acordo com a empresa de segurança móvel, os dois aplicativos maliciosos são programados para serem iniciados sem a interação dos usuários e coletar silenciosamente dados sensíveis dos usuários, enviando-os para servidores duvidosos baseados na China.

Os dois aplicativos de spyware são, nomeadamente, File Recovery e Data Recovery,

(com.spot.music.filedate), com mais de 1 milhão de instalações, e File Manager (com.file.box.master.gkd), com mais de 500.000 instalações.

Ambos os aplicativos são do mesmo desenvolvedor e apresentam comportamentos maliciosos semelhantes.

Como Esses Aplicativos Funcionam?

Os dois aplicativos de spyware foram descobertos pelo motor de análise comportamental da Pradeo na Google Play Store, onde esses aplicativos afirmam que não coletam dados dos dispositivos dos usuários. Também afirma que, se algum dado for coletado, os usuários não poderiam solicitar a exclusão dos dados.

No entanto, ao contrário das alegações na Google Play Store, esses dois aplicativos móveis foram encontrados coletando os seguintes dados sensíveis dos usuários e enviando-os para múltiplos servidores, principalmente localizados na China:

• Listas de contatos dos usuários do próprio dispositivo, contas de email conectadas e redes sociais

• Imagens, conteúdos de áudio e vídeo compilados no aplicativo

• Localização do usuário em tempo real

• Código do país móvel

• Nome do provedor de rede

• Código da rede do provedor de SIM

• Número da versão do sistema operacional

• Marca e modelo do dispositivo

O que é particularmente perturbador é que cada aplicativo realizou mais de cem transmissões dos dados coletados, o que é uma quantidade significativa para atividades maliciosas.

Para aumentar seu sucesso, os desenvolvedores desses aplicativos de spyware usaram técnicas furtivas para parecer mais confiáveis e eficientes, o que dificultou a sua localização e desinstalação.

“Ambos os spywares mostram uma grande população de usuários, mas não têm avaliações. Acreditamos que o hacker usou uma fazenda de instalações ou emuladores de dispositivos móveis para falsificar esses números, tornando suas aplicações melhor classificadas nas listas de categorias das lojas e aumentando sua aparente legitimidade”, escreveu Roxane Suau, a pesquisadora da Pradeo que descobriu o spyware em um post no blog.

Além disso, ambos os aplicativos também foram encontrados com permissões avançadas que permitem reiniciar dispositivos e, em seguida, iniciar e executar automaticamente, sem interação do usuário, e esconder seus ícones na tela inicial, dificultando a desinstalação para usuários desavisados.

A Pradeo alertou o Google sobre a descoberta antes de publicar o post no blog. No momento da redação, ambos os aplicativos de spyware foram removidos da Google Play Store.

“Esses aplicativos foram removidos do Google Play. O Google Play Protect protege os usuários de aplicativos conhecidos por conter esse malware em dispositivos Android com Google Play Services, mesmo quando esses aplicativos vêm de outras fontes fora do Play”, disse o Google em um comunicado ao BleepingComputer.

Se você tiver algum dos aplicativos mencionados acima instalado em seu dispositivo, é recomendável que você localize e os exclua imediatamente. Além disso, você pode seguir as dicas mencionadas abaixo para se manter seguro:

• Certifique-se de que está executando a versão mais recente do Android em seu dispositivo.

• Não baixe aplicativos que não têm avaliações, apesar de milhares de usuários.

• Leia as avaliações, se houver, para entender a natureza legítima do aplicativo.

• Sempre leia cuidadosamente as permissões antes de aceitá-las.

• Desinstale aplicativos do seu dispositivo que não são mais necessários.

• Tenha cuidado com aplicativos que pedem mais permissões do que precisam, pois podem ser maliciosos.

• Baixe apenas software publicado por desenvolvedores respeitáveis.