Com as recentes atualizações de segurança da Google Play Store, é de se esperar que ela bloqueie aplicativos perigosos com mais eficiência. Mas nem sempre é esse o caso. O Google acaba de remover dezenas de aplicativos com malware de sua plataforma, mas somente depois que eles foram baixados mais de 19 milhões de vezes. Isso marca uma das maiores infiltrações de malware da história recente.

A descoberta foi feita pela equipe ThreatLabz da Zscaler durante uma investigação sobre uma campanha de malware em grande escala direcionada aos usuários do Android. Descobriu-se que muitos dos aplicativos removidos continham o conhecido trojan bancário Anatsa, também conhecido como TeaBot.

Como o malware Anatsa rouba seus dados e seu dinheiro

O Anatsa foi documentado pela primeira vez em 2020. Ele foi incorporado em vários aplicativos falsos e mal-intencionados e amplamente usado para roubar dados confidenciais de usuários e credenciais bancárias. O relatório atual sugere que o cavalo de Troia agora tem como alvo mais de 830 aplicativos de bancos, criptomoedas e carteiras digitais, com atividades recentes abrangendo a Alemanha e a Coreia do Sul.

Os hackers disfarçam esses aplicativos para que pareçam legítimos ao atacar dispositivos Android vulneráveis. Alguns exemplos de disfarces do cavalo de Troia incluem leitores de PDF ou de documentos, aplicativos de bem-estar e ferramentas de lanterna. Um caso recente envolveu um aplicativo chamado Document Reader - File Manager, publicado por um desenvolvedor suspeito chamado orukov5 na Play Store, que acumulou mais de mil instalações antes de ser retirado do ar.

Os aplicativos de malware podem parecer legítimos na Google Play Store, mas contêm cavalos de Troia ocultos. Por exemplo, um aplicativo de leitura de documentos pode executar código remoto depois de instalado em seu dispositivo. / © Zscaler

Uma vez instalado, o aplicativo explora brechas de acessibilidade para obter permissões. Em seguida, ele atua como um canal para baixar cargas maliciosas, como códigos de execução, de servidores remotos por meio de atualizações de aplicativos. Essas cargas são implantadas silenciosamente no dispositivo afetado. Depois disso, o malware começa a procurar aplicativos bancários instalados, viola sua segurança e rouba informações sem o conhecimento da vítima.

Em alguns casos, ele exibe telas de login falsas para capturar as credenciais da conta, semelhante às táticas usadas pelo malware Hook. Em seguida, os atacantes usam esses detalhes roubados para desviar fundos das contas bancárias das vítimas.

Um exemplo em que o aplicativo de malware baixará "cargas úteis" contendo os códigos de execução por meio de uma atualização de aplicativo. / © Zscaler

A Malwarebytes observou que o Anatsa continua a evoluir, contornando proteções de segurança novas e avançadas. Isso torna cada vez mais difícil sua detecção e bloqueio.

Mais ameaças de malware: Joker e Harly

Além do Anatsa, os pesquisadores de segurança também descobriram outros tipos de malware, incluindo o Joker e o Harly, sendo distribuídos por meio de aplicativos maliciosos. Essas são variantes populares de adware, mas também são capazes de roubar informações lendo mensagens e espionando por meio de capturas e gravações de tela.

De acordo com o Google, ele detectou essas ameaças e corrigiu as falhas removendo os aplicativos. Os usuários afetados foram alertados e aconselhados a excluir os aplicativos de seus dispositivos.

Como proteger seu dispositivo contra malware

Esse recente ataque destaca como as ameaças continuam a evoluir, apesar dos aprimoramentos de segurança do Google e da Apple. Os usuários são fortemente aconselhados a tomar medidas de segurança proativas para proteger seus dispositivos e dados.

Mesmo que um aplicativo pareça legítimo, sempre verifique o editor e o número de downloads e evite instalar aplicativos de terceiros fora da Play Store. Ao mesmo tempo, evite conceder permissões imediatamente e esteja atento ao acesso que você está dando. Em alguns casos, é melhor desinstalar os aplicativos que vocês não usam mais.

Também é recomendável ativar as configurações de segurança, como o Google Play Protect, que está ativado por padrão. Esse recurso verifica os aplicativos durante o download e a instalação e alerta vocês sobre possíveis ameaças. Além disso, verifique se o telefone e os serviços principais estão atualizados para a versão mais recente do software, pois ela inclui as correções de segurança mais recentes para as vulnerabilidades.

