Aplicações maliciosas para Android têm sido uma tendência cada vez mais crescente dentro da Play Store, e foi agora descoberto que várias apps estariam a utilizar métodos para tentar contornar as medidas de identificação de malware presentes na loja de aplicações da empresa.
Como é sabido, a Google realiza várias analises às aplicações da Play Store antes das mesmas serem disponibilizadas para a Internet. Estas analises nem sempre são perfeitas e não detetam todos os casos de código maliciosos, mas foi agora descoberta uma nova forma que algumas apps estão a utilizar para contornar as proteções da Google.
Dezenas de aplicações descobertas estariam a recolher os IPs de servidores da Google, de forma a adiar o lançamento das suas atividades maliciosas caso fosse verificado que a abertura de alguma dessas apps tinha sido a partir de um desses IPs.
Segundo a empresa de segurança ESET, 42 aplicações na Play Store foram descobertas como estando a realizar esta atividade, com a campanha mais antiga datada de Julho de 2018. Algumas das aplicações descobertas tinham milhares de downloads e avaliações, com a mais popular a conter 5 milhões de instalações e 87.000 reviews dentro da Play Store – num total de 4.2 estrelas.
O funcionamento destas aplicações era simples – dentro do código das mesmas encontrava-se um sistema que analisava o IP das ligações dos utilizadores, enviando o mesmo para uma base de dados remota. Esta base de dados comparava o IP e verificava se o mesmo era proveniente de uma lista de IPs reconhecidos da Google – o que indicava tratar-se de um sistema da Play Store para analise de malware.
Se fosse identificado esse IP, o malware presente na aplicação permanecia oculto e silencioso. Doutra forma, seria executado após alguns dias. O malware fornecia aos utilizadores publicidade forçada, ocultando a origem da mesma no ecrã.
O criador destas aplicações também não se deu ao trabalho de ocultar as suas atividades, sendo que os envios dos IPs eram feitos para um domínio que se encontrava ativo e registado, com todos os dados do mesmo visíveis publicamente nas informações WHOIS. Estes dados encontravam-se associados com um estúdio de jogos no Vietnam, que poderá estar por detrás da atividade maliciosa.
As aplicações foram entretanto reportadas à Google e já não se encontram na Play Store.
Nenhum comentário
Seja o primeiro!