Mais de duas dúzias de aplicativos maliciosos para Android, com mais de 2,1 milhões de instalações, foram observados pelos pesquisadores de segurança enquanto exibiam anúncios agressivos em tela cheia após o download dos arquivos de configuração.
Os 25 aplicativos foram encontrados na Play Store durante o final de agosto e, embora imediatamente após a instalação não apresentassem nenhum comportamento malicioso, os aplicativos baixariam posteriormente os arquivos de configuração de malware que ativariam o modo 'maligno'.
Isso informará os componentes de malware incluídos para habilitar os módulos projetados para ocultar os ícones dos aplicativos e começar a exibir anúncios que permitirão aos desenvolvedores de malware ganhar dinheiro usando os dispositivos Android infectados.
Google Play Protect ignorado
Todos os 25 aplicativos - camuflados como utilitários de moda e foto - foram removidos após serem denunciados ao Google em 2 de setembro, após o desembarque com êxito na Play Store, garantindo que as funções maliciosas não fossem codificadas nos APKs (Android Package Kits) enviados para Reveja.
"Em vez disso, o switch é controlado remotamente pelo arquivo de configuração baixado, permitindo que o desenvolvedor de malware evite os rigorosos testes de segurança do Google Play", diz a equipe de Inteligência em Ameaças da Symantec que descobriu os aplicativos.
"Esses 25 aplicativos ocultos maliciosos compartilham uma estrutura de código e conteúdo de aplicativos semelhantes, levando-nos a acreditar que os desenvolvedores podem fazer parte do mesmo grupo organizacional ou, pelo menos, estão usando a mesma base de código-fonte".
Para evitar que seus aplicativos sejam identificados como maliciosos, os agentes de ameaças usaram vetores de inicialização e chaves de criptografia para codificar e criptografar algumas palavras-chave no código-fonte do malware, a fim de ignorar os mecanismos de detecção baseados em regras de possíveis soluções anti-malware instaladas no dispositivos.
Anúncios exibidos aleatoriamente, gráficos com abuso abusivo
Os aplicativos foram projetados para se esconder primeiro, removendo seus ícones e depois começar a exibir anúncios nos dispositivos comprometidos, mesmo se os aplicativos estiverem fechados.
"Os anúncios em tela cheia são exibidos em intervalos aleatórios, sem o título do aplicativo registrado na janela do anúncio, para que os usuários não tenham como saber qual aplicativo é responsável pelo comportamento", diz o relatório da Symantec.
Como observação lateral, um dos desenvolvedores por trás dos aplicativos usou uma maneira inovadora de colocar um aplicativo mal-intencionado nos dispositivos de seus alvos: ele publicou dois aplicativos idênticos na loja, um limpo e outro com código malicioso incluído.
A versão limpa foi aprimorada para entrar na categoria de aplicativos mais populares da Play Store, com a esperança de que a cópia maliciosa também fosse instalada acidentalmente e infectasse os usuários com o malware agressivo de envio de anúncios.
Uma lista completa de indicadores de comprometimento (IOCs), incluindo IDs de aplicativos (nomes de pacotes), hashes, nomes de desenvolvedores e contagens de download de cada um dos 25 aplicativos maliciosos, está disponível no final da análise da equipe do Symantec Threat Intelligence .