Um novo malware conhecido como
Agent Smith, descoberto nessa quarta-feira (10), infecta usuários por meio de
clones de apps como WhatsApp, MX Player e Truecaller e substitui os programas
legítimos do Android por versões comprometidas com adware. Segundo especialistas
da firma de segurança Check Point, que revelaram a ameaça, o ataque já atingiu
cerca de 25 milhões de celulares rodando Android 5 (Lollipop) ou 6
(Marshmallow) na Índia, Paquistão, Bangladesh e outros países asiáticos.
O código malicioso explora a
vulnerabilidade Janus, descoberta no fim de 2017, para que os hackers faturem
com a visualização da publicidade. A falha não afeta smartphones com Android 7
(Nougat) ou versões mais recentes do sistema do Google.
O malware é distribuído por
lojas alternativas de apps Android. Uma delas é a 9apps, ligada à Alibaba,
gigante chinesa do e-commerce. Segundo a Check Point, a ameaça se disfarça como
APKs de aplicativos populares para estimular a instalação. Para baixar esse
tipo de programa, o usuário precisa, antes, remover manualmente as proteções do
Android.
Uma vez no celular, o
aplicativo abre caminho para a instalação do malware Agent Smith, disfarçado de
uma suposta atualização do Google. Ele, por sua vez, analisa os demais apps
instalados no aparelho e faz o download de uma lista de clones com modificações
no código. Após o download em lote, o malware explora a vulnerabilidade Janus
para substituir os apps legítimos sem levantar suspeitas.
Na sequência, os apps falsos
entram em contato com redes de propagandas e começam a exibir banners de
anúncios no telefone, e os hackers faturam com a visualização da publicidade. O
APK que infiltra o malware no telefone fica com o ícone oculto, dificultando a
identificação da raiz do problema. O levantamento da Check Point informa que,
em média, cada vítima tem 112 apps trocados por versões falsificadas.
Até o momento, as funções do
malware têm sido exploradas principalmente para obter rendimentos provenientes
de anúncios, mas especialistas alertam que as possibilidades são inúmeras. Em
tese, o código poderia falsificar também aplicativos de banco, desde que o
original já esteja instalado em um celular com Android desatualizado.
Outra preocupação está
relacionada à distribuição do ataque. Embora o fluxo de infecções tenha origem
em lojas alternativas do Android, os especialistas em segurança chegaram a
identificar ao menos 11 apps na Google Play Store que continham porções do
código usado pelo Agent Smith. O Google foi avisado e os apps foram removidos
da loja.
Fonte: Gazetaweb Globo
Nenhum comentário:
Postar um comentário