Pesquisadores da empresa de segurança FireEye publicaram recentemente informações sobre um curioso malware que surgiu para os dispositivos Android. Instalado ao ser feito download de conteúdo de fontes não oficiais, a ameaça cria um ícone semelhante ao do Google Play no ecrã inicial do aparelho e rouba informações de mensagens SMS, certificados digitais e dados bancários das vítimas.

 

Usando o símbolo da loja de aplicações da gigante das buscas e o nome “googl app stoy”, o programa malicioso abria como se fosse funcionar, quando o dono do aparelho infectado clicava no ícone pela primeira vez. No entanto, após solicitar as permissões de acesso do utilizador, uma mensagem de erro em coreano era exibida afirmando que o software seria desinstalado, mas tudo o que acontecia era o desaparecimento do atalho.

 

Mesmo após a “remoção” do programa, é possível encontrá-lo a abrir as configurações do sistema operativo e observando a lista de processos em funcionamento, correndo outros cinco serviços e fazendo uso de um servidor DNS dinâmico com o protocolo SSL do Gmail. Dessa forma, o malware é capaz de recolher os dados desejados e enviá-los para os seus criadores ao mesmo tempo em que usa as suas credenciais para fugir do radar dos antivírus.

 

%name Malware para Android finge ser o Google Play para roubar dados dos utilizadores image

 

Duro de apagar

De acordo com a FireEye, o pacote do malware “googl app stoy” tem o nome “com.sdwiurse” e a aplicação que corre em segundo plano não pode ser removido manualmente, já que a opção para desinstalá-lo fica inactiva. Embora exista a possibilidade de desactivar o funcionamento do programa malicioso, os serviços simplesmente voltam a funcionar após uma reinicialização do smartphone ou tablet.

Relacionado:
LG oficializa o intermediário Stylus 3

 

A empresa de segurança afirma que a aplicação ocupa apenas 1,7 MB e tem poucas linhas de código, de forma a escondê-lo melhor dos antivírus. “Depois de decriptado e descomprimido, no entanto, o pacote real de arquivos do malware completo chegava aos 2,2 MB”, afirma a análise da FireEye.

Após descobrir e estudar o programa malicioso, a empresa reportou a ameaça à Google e auxiliou o gigante das buscas a derrubar as contas de email usadas pelos hackers responsáveis, onde foram encontrados dados bancários e outras informações das vítimas. Embora a ameaça do “googl app stoy” tenha sido eliminada, fica o alerta para quem costuma fazer download de aplicações e jogos fora do Google Play ou de outras lojas oficiais.

 

 

 

 

Fonte: FireEye & Tecmundo