Novo Malware Android Instalado Mais de 3 Milhões de Vezes na Google Play

Um pesquisador de segurança descobriu uma nova família de malware Android na Google Play Store que secretamente inscreveu assinantes em serviços premium, de acordo com um relatório do Bleeping Computer.

O novo malware Android, chamado Autolycos, foi descoberto por Maxime Ingrao, um pesquisador de segurança da empresa de cibersegurança Evina. O malware, que foi identificado pela primeira vez por Ingrao em junho de 2021, infectou oito aplicativos na Play Store que foram baixados mais de três milhões de vezes.

Todos esses aplicativos maliciosos atraíram usuários para baixá-los oferecendo funcionalidades adicionais para sua câmera ou teclado.

Ingrao apontou que esses aplicativos maliciosos pediam autorização aos usuários para ler mensagens SMS no smartphone após a instalação. Uma vez que os usuários deram permissão, eles roubaram dados.

Às vezes, eles até se inscreviam em pacotes premium dos aplicativos infectados sem o conhecimento ou consentimento do proprietário. Eles só saberiam quando recebessem uma fatura e um aviso informando que o valor foi debitado de seus cartões de crédito ou débito.

Embora o pesquisador tenha relatado sobre o malware Autolycos ao Google já em junho de 2021, levou cerca de meio ano para que o gigante da busca removesse seis dos aplicativos infectados da Play Store. Além disso, os dois aplicativos restantes infectados foram retirados apenas depois que a Bloomberg publicou seu artigo sobre o malware Autolycos.

Abaixo está uma lista completa de aplicativos infectados com o malware Autolycos e seus detalhes:

2. Vlog Star Video Editor:- 1 milhão de downloads

3. Creative 3D Launcher:- 1 milhão de downloads

4. Wow Beauty Camera:- 100.000 downloads

5. Gif Emoji Keyboard:- 100.000 downloads

6. Freeglow Camera 1.0.0:- 5.000 downloads

7. Coco camera V1.1:- 1.000 downloads

8. Funny Camera by KellyTech:- Mais de 50.000 downloads

9. Razer Keyboard & Theme by rxcheldiolola:- Mais de 50.000 downloads

Como o malware Autolycos funcionava?

“Autolycos é muito mais discreto do que o agora bem conhecido malware Joker. Autolycos não lança um navegador invisível como o Joker faz. O malware lança tentativas de fraude executando requisições http sem usar um navegador,” escreveu Ingrao em um relatório explicando como o malware funciona.

“Para algumas etapas, ele pode executar urls em um navegador remoto e incorporar esses resultados nas requisições http. Esta operação tem como objetivo dificultar para o Google diferenciar aplicativos infectados por Autolycos de legítimos. É exatamente por isso que o Autolycos permaneceu não identificado por tanto tempo e alcançou mais de 3 milhões de downloads.”

Os cibercriminosos promoveram os aplicativos em várias páginas do Facebook e veicularam anúncios no Facebook e Instagram para alcançar um grande número de novos usuários.

Os aplicativos que foram promovidos através das campanhas publicitárias se tornaram mais visíveis para os usuários, o que levou a um grande número de usuários baixando os aplicativos em um curto período de tempo, que acabaram classificando-se bem na Play Store.

Por exemplo, houve 74 campanhas publicitárias diferentes no Facebook para promover o aplicativo Razer Keyboard & Theme contendo Autolycos, de acordo com Ingrao. Alguns também usaram bots para gerar avaliações positivas na Play Store. Este aplicativo foi classificado em 5º lugar entre os novos aplicativos da Play Store na Nigéria e em 2º lugar na categoria de aplicativos de personalização.

Para se manter seguro, verifique se seu smartphone Android possui algum dos aplicativos infectados mencionados acima, se sim, exclua-o imediatamente. Monitore seus dados de internet em segundo plano, a bateria consumida pelos aplicativos, mantenha o Play Protect ativo e baixe o menor número possível de aplicativos em seus smartphones.