Ícones do Android podem ser explorados por hackers usando uma falha para levar o usuário a um site de phishing ao serem clicados – FireEye

FireEye relatou que recentemente detectou um aplicativo Android malicioso que poderia modificar os ícones de outros aplicativos no smartphone ou tablet Android dos usuários. Uma vez que os ícones foram modificados, se e quando fossem clicados pelo usuário do smartphone, o usuário seria enviado a um site de phishing.

O relatório do blog da FireEye escrito pelos pesquisadores de segurança Hui Xue, Yulong Zhang e Tao Wei diz que o aplicativo malicioso abusou de um conjunto de permissões para modificar as configurações do lançador padrão do Android e os ícones.

O malware está abusando de um conjunto de permissões conhecidas como “com.android.launcher.permission.READ_SETTINGS” e “com.android.launcher.permission.WRITE_SETTINGS.”

De acordo com os pesquisadores da FireEye, as duas permissões acima foram classificadas como “normais” há muito tempo, uma designação dada a permissões de aplicativos consideradas sem possibilidades maliciosas. Portanto, essas permissões não estão incluídas no conjunto padrão de permissões que um usuário Android deve ‘aceitar’ ao instalar um novo aplicativo.

Essa designação “normal” dada pelo sistema operacional Android é a brecha que os autores do malware usaram para escrever este aplicativo malicioso em particular. Assim, o aplicativo malicioso “usou essas permissões normais” e substituiu ícones legítimos da tela inicial do Android por falsos que apontam para aplicativos ou sites de phishing,” escreveram.

Os autores afirmaram ainda que a FireEye desenvolveu um ataque de prova de conceito usando o tablet Nexus 7 do Google rodando a versão 4.2.2 do Android para mostrar que os ícones poderiam ser modificados para enviar as pessoas a outro site. A FireEye conseguiu contornar as verificações de segurança do Google em vigor e conseguiu fazer o upload do aplicativo que chamou de ‘ThisIsATestApp’ na loja Play do Google, que foi removido após a confirmação de sua Prova de Conceito.

A loja Play do Google, que verifica aplicativos em busca de problemas de segurança, especialmente após o aparecimento de aplicativos falsos no Google Play, considerou o aplicativo legítimo e o publicou no Google Play. A FireEye acrescentou que ninguém baixou o aplicativo PoC pelo breve momento em que esteve listado na loja Play do Google.

A FireEye forneceu ao Google a Prova de Conceito sobre essa falha no mês de outubro de 2013 e o Google emitiu um patch em fevereiro de 2014 para superar essa falha, diz a FireEye. O Google emitiu o patch para todos os seus parceiros OEM, pois isso deve ser incluído na atualização em si, mas a FireEye afirma que nem todos os OEMs são rápidos o suficiente para atualizar e aplicar patches de segurança. Isso significa que vários smartphones Android rodando no ROM padrão ainda estão vulneráveis a este aplicativo malicioso.

A FireEye afirma que até mesmo os ROMs personalizados disponíveis em todo o mundo tratam as permissões acima como legítimas, tornando até mesmo os smartphones Android rodando CyanogenMod vulneráveis a este ataque. A FireEye testou um Nexus 7 rodando no ROM personalizado CyanogenMod, bem como um Samsung Galaxy S4 rodando Android 4.3 e um HTC One rodando 4.4.2. Todos classificam as permissões “read_settings” e “write_settings” como normais.

A FireEye instou todos os fornecedores de Android a atualizar a versão OEM do Android com o patch de segurança. O verdadeiro perigo é que os atacantes poderiam modificar o ícone de um aplicativo bancário e enganar os usuários para que divulgassem informações sensíveis, como suas credenciais de conta bancária, em um site falso que criaram.

Recurso: Blog FireEye