Pesquisadores da empresa de segurança Kaspersky descobriram um novo vírus chamado Fakedtoken, capaz de roubar os detalhes bancários de usuários de smartphones com sistema operacional Android. Surpreendente por sua sofisticação, o programa lembra que é importante estar sempre atento: nunca digite seus dados bancários em aplicações e sites de fontes desconhecidas ou a sua conta pode ficar vazia rapidamente.

Infelizmente, parece que mesmo na loja Google Play as aplicações não são necessariamente confiáveis. Os pesquisadores da Kaspersky, que recentemente lançaram um antivírus gratuito, não apenas descobriram que o programa pode roubar dados bancários dos correntistas, mas também monitorar suas mensagens de texto e chamadas telefônicas.

O vírus foi criado no ano passado e aprimorado ao longo de tempo. Inicialmente era um cavalo de Tróia capaz de interceptar mensagens de texto para roubar identidades bancárias. Agora, ele se propaga em mensagens via SMS enviadas em ondas para roubar o acesso bancário ao oferecer aos usuários a possibilidade de colocar suas fotos.

Para Michael Magrath, diretor mundial de Regulamentações e Padrões da Vasco Data Security, muitos aplicativos móveis são infectados e os usuários precisam aprender rapidamente que seus dados pessoais, incluindo os bancários, podem estar em risco. “Fakedtoken é um vírus impressionante, mas controlável. Programas criminosos como ele podem ser inibidos quando as aplicações móveis empregam a tecnologia Runtime Application Self-Protection [RASP]”, comenta Magrath, destacando que ela reúne um conjunto de tecnologias que agregam uma camada adicional de segurança diretamente nas aplicações móveis detectando e prevenindo os ataques criminosos.

“As aplicações moveis são mais vulneráveis durante a execução, quando estão abertas e desprotegidas contra-ataques realizados em tempo real. A tecnologia RASP mantém a sua integridade mesmo se o usuário inadvertidamente baixa um programa criminoso em seu aplicativo”, conclui o especialista.

O Google Play é a alma do Android. É ele que faz o sistema ser tão especial, com tantos aplicativos interessantes e úteis. Infelizmente, porém, a falta de controle do Google sobre o que os desenvolvedores publicam também abre espaço para que muito lixo seja disponibilizado na loja.

Um desenvolvedor, usuário do Reddit, percebeu a situação e achou que a melhor forma de lidar com o problema seria criando uma “lista da vergonha” para denunciar os aplicativos que adotam práticas negativas. A lista está disponível no site Android Blacklist, neste link.

Todos os itens listados no site incluem ao menos uma das características negativas apontadas abaixo:

Até o momento a lista é curta, mas representativa. Ela abrange aplicativos bastante conhecidos como o TrueCaller, apontando a prática de coletar todos os seus contatos para funcionar como identificador de chamadas e a suspeita de que a empresa estaria vendendo dados pessoais, e o ES File Explorer, um dos mais populares gerenciadores de arquivos do Android pelos seus anúncios invasivos.

Enquanto a lista publicada ainda está pequena, a lista de apps que devem ser publicados em breve já está grande. Ela está disponível nesta planilha do Google Docs, que também mostra quais são os “crimes” cometidos por cada um dos apps, embora sem riqueza de detalhes.

 

Um novo velho malware voltou a ameaçar os usuários de Android. De acordo com a Trend Micro, um malware que acompanhava o vírus RETADUP “evoluiu” para uma nova versão capaz de tomar o controle do dispositivo com Android.

A nova ameaça leva o nome de GhostCtrl e tem potencial para transformar o smartphone Android em um espião que grava e envia vídeos e áudios silenciosamente. Ele também é capaz de bloquear a tela do aparelho, refedinir a senha e rotear o dispositivo infectado.

O GhostCtrl atua com três versões diferentes: uma ganha privilégios de administrador no dispositivo, a segunda consegue bloquear a tela do aparelho, sequestrar a câmera, criar uma tarefa para tirar fotos e enviá-las para um servidor externo. A terceira versão une as forças das duas anteriores, criando um malware extremamente potente e perigoso.

A Trend Micro alerta que o GhostCtrl é uma variante do OmniRAT, uma ferramenta de administração remota para Android que é vendida em pacotes que vairam entre US$ 25 e US$ 75.

Ao explorar a ferramenta, hackers conseguiram desenvolver um malware que se passa por aplicativo legítimo e, quando iniciado no smartphone, é instalado no dispositivo e começa a coletar dados para enviá-los a servidores externos sem o consentimento do usuário, incluindo registros de chamadas, de SMS, contatos, localização e mais.

Apesar de não ter sido encontrado na loja Google Play até o momento, o GhostCtrl pode ser encontrado em arquivos APK que parecem ser de apps legítimos e, quando carregados no Android, infectam o dispositivo.

 

Em vez de criptografar arquivos, um novo ransomware que atinge smartphones com Android prejudica usuários de outra forma: ele ameaça expor o histórico de navegação na internet para os amigos da pessoa.

O LeakerLocker, descoberto por pesquisadores da McAfee dentro de um app na Google Play Store, não atua como outras ameaças do tipo, que criptografam os arquivos de um dispositivo e só liberam o acesso a eles depois do pagamento de uma recompensa em dinheiro. Em vez disso, ele diz fazer backup de todos os dados armazenados em um aparelho e ameaça compartilhá-los com todos os contatos caso não seja feito um pagamento de US$ 50.

O ransomware foi encontrado em dois apps disponíveis na Google Play Store: o Walpapers Blur HD, baixado entre 5.000 e 10 mil vezes, e o Booster & Cleaner Pro, baixado entre 1.000 e 5.000 vezes. Isso faz com que a quantidade de potenciais vítimas do golpe seja de até 15 mil pessoas.

Reprodução

Ele alega coletar fotos, mensagens do Facebook, histórico da web, e-mails, histórico de localização e mais. O compartilhamento dessas informações com contatos pode causar problemas para muitas pessoas.

Mas, segundo a McAfee, ele pode não ser capaz de fazer tudo o que diz fazer: análise dos códigos do vírus indicam que ele consegue acessar endereços de e-mail, algumas informações de contato, histórico de navegação do Chrome, mensagens de texto, chamadas telefônicas e fotos da câmera.

Por isso, os pesquisadores orientam as possíveis vítimas a não realizar o pagamento pedido, já que não há indícios de que de fato ele vai divulgar as informações como diz fazer.

O sucesso recente do WannaCry gerou algumas cópias, e uma delas é uma espécie de evolução do SLocker, um malware conhecido há anos e que infecta dispositivos com Android.

Segundo a Trend Micro, o ransomware vem ganhando novos poderes desde que ressurgiu, em maio. Agora, ele tem características mais próximas ao WannaCry, como a criptografia dos arquivos de um smartphone e o uso da rede TOR para garantir o anonimato das comunicações dos aparelhos infectados.

A nova versão do SLocker foi encontrada dentro de um app feito para trapaças no jogo “King of Glory” chamado King of Glory Auxiliary.

Assim que o dispositivo é infectado com o malware, o SLocker vasculha o Android em busca de arquivos que tenham sido baixados da web e criptografa eles, deixando dados de funcionamento do sistema livres para que o Android continue rodando. Com os arquivos do usuário bloqueados, o malware exige um pagamento para liberar o acesso aos dados.

Mas não há motivo para pânico: a Trend Micro diz que ferramentas que inibem os efeitos do SLocker já foram publicadas, e aparelhos infectados pelo ransomware podem ser facilmente desbloqueados. Além disso, cinco dias após o ressurgimento do malware, uma pessoa foi presa na China apontada como responsável por ele, o que deve dificultar a disseminação do golpe.

Um novo ataque hacker foi descoberto na terça-feira (23) pelos pesquisadores do Instituto de Tecnologia da Geórgia, nos Estados Unidos. Batizado de Cloak and Dagger, algo como “Capa e Punhal”, o ataque atinge todos os smartphones com sistema operacional Android — até a versão Nougat 7.1.2. A Google já foi informada sobre a existência do Cloak and Dagger.

Veja bem: esse ataque cibercriminoso não utiliza uma vulnerabilidade de sistema ou exploit do Android, mas sim permissões legítimas para aplicativos quando instalados no celular.

De acordo com os pesquisadores, o ataque Cloak and Dagger permite que cibercriminosos invadam um smartphone Android e, de maneira silenciosa, consigam acesso completo ao sistema operacional. Dessa maneira, eles teriam controle total do celular e poderiam roubar dados privados, incluindo senhas de banco, redes sociais, conversas, contatos etc.

Como citado anteriormente, o Cloak and Dagger se utiliza de permissões para invadir o smartphone. Se você tem um smartphone, sabe bem do que estamos falando: quando você instala um aplicativo, um menu popup aparece mostrando o nível de acesso ao aparelho que você entrega ao app. É nesse momento que o ataque cibercriminoso age.

Como o Cloak and Dagger age

Os pesquisadores do Instituto de Tecnologia da Geórgia conseguiram inserir o Cloak and Dagger em 20 smartphones Android, e nem usuários nem sistema operacional conseguiram detectar a atividade maliciosa.

Para invadir os dispositivos, o ataque utiliza as seguintes permissões:

A primeira permissão citada, como indica o The Hacker News, é uma maneira legítima que fornece ao aplicativo a capacidade de sobrepor outros aplicativos na tela do smartphone. Enquanto isso, a segunda permissão é voltada para deficientes auditivos e visuais, permitindo que o usuário utilize comandos de voz para realizar a ações ou escutar o que está na tela.

“Já que o ataque não exige um código malicioso para desempenhar tarefas trojan, ele se torna mais fácil para hackers desenvolverem e colocarem o app malicioso na Google Play Store sem detecção”, analisa a pesquisa. Os envolvidos no projeto também comentaram como conseguiram incluir o app invasor na lista de downloads da Google Play:

O aplicativo foi aprovado em apenas algumas horas na Google Play

“Nós submetemos o aplicativo exigindo essas duas permissões e possuindo uma funcionalidade ‘não ofuscada’ para baixar e executar um código arbitrário (buscando simular um comportamento claramente malicioso): esse aplicativo foi aprovado em apenas algumas horas (e ainda está disponível na Google Play)”, escreveram os pesquisadores.

Entre as capacidades do Cloak and Dagger, também estão: ataque avançado de clickjacking (roubo de clique, como uma armadilha), gravação de teclas utilizadas, ataque silencioso de phishing e instalação silenciosa de um app God Mode (controle total ao aparelho). Abaixo, você vê um vídeo demonstrando como o ataque funciona.

Google avisada; o que fazer?

Os pesquisadores deixaram claro que a Google já foi avisada, contudo essas permissões foram codificadas no Android — então uma resolução seria muito difícil. Ao que parece, a Google vai modificar essas permissões na próxima versão do sistema operacional, o Android 8.0 O, que chega ainda neste ano.

Atualização. O comentário da Google sobre o Cloak and Dagger é o seguinte: “Apreciamos os esforços em ajudar a deixar os nossos usuários seguros. Atualizamos o Google Play Protect — os nossos serviços de segurança em todos os dispositivos Android com Google Play — para detectar e prevenir a instalação desses apps. Já desenvolvemos novas proteções de segurança no Android O que vão fortalecer nossa proteção contra problemas futuros”.

Enquanto isso, siga a recomendação: preste muita atenção aos aplicativos que você baixa na Google Play Store — e mais ainda fora da loja oficial. Cheque o desenvolvedor e os comentários. Além disso, é interessante desabilitar o “SYSTEM_ALERT_WINDOW” como forma de precaução.

Para isso, siga estes passos: vá até as “Configurações” do Android, então escolha “Apps” e toque no símbolo de engrenagem no canto superior direito. Agora, toque em “Sobrepor a outros apps” e desabilite (troque o Sim por Não) para qualquer app suspeito/que não precisa da permissão.

Para mais atualizações sobre este caso, acompanhe nossa página específica sobre segurança.

Os aplicativos instantâneos agora são oficiais. Após um período em testes, o Google anunciou, durante seu evento anual para desenvolvedores, que as ferramentas estão disponíveis para todos. Com isso, praticamente qualquer aplicativo pode funcionar no formato.

Caso você não tenha acompanhado a trajetória do recurso, uma breve explicação. Apresentada em 2016, a ferramenta permite que você utilize um aplicativo sem precisar baixá-lo. Ao acessar algum link na web compatível com os apps instantâneos, você abre um pequeno pedaço do aplicativo necessário para realizar uma tarefa, proporcionando ganho de desempenho e todas as outras vantagens de um app sem a necessidade de instalação prévia. Se o usuário quiser, será possível baixar a versão completa.

A proposta do Instant Apps é simplificar ao máximo o processo de aquisição de novos usuários a aplicativos, o que beneficia demais desenvolvedores e o próprio Google. O benefício vem na forma de não ser direcionado ao Google Play ao tocar em uma URL para baixar um arquivo grande e ficar esperando pela sua instalação. O recurso ainda por cima economiza espaço no armazenamento do celular, já que permite que apenas elementos específicos sejam baixados, e não o app completo.

Em janeiro deste ano, o Google anunciou os primeiros aplicativos compatíveis com o recurso, mas eles ainda eram poucos e estavam em fase de testes. Com a abertura da ferramenta, qualquer aplicativo pode funcionar dessa forma.

No entanto, é importante observar que o Google voltou atrás em algumas das decisões inicialmente anunciadas. A ideia era de que os apps instantâneos estivessem disponíveis em todas as versões do Android a partir da 4.3, mas por enquanto elas só funcionam na versão 6.0 ou superior. A empresa também diz que o suporte à versão 5.0 está a caminho.

Pesquisadores da empresa de segurança Zscaler revelaram nesta sexta-feira, 21, a descoberta de um vírus para Android escondido no Google Play. O malware ficou por três anos registrado na loja de apps com o nome de “System Update”.

Segundo os pesquisadores, o vírus já havia sido baixado mais de 1 milhão de vezes antes de ser excluído do Google Play. A julgar pelos comentários deixados pelas vítimas, o app era instalado por pessoas que achavam que estavam baixando uma atualização do Android.

Quando um usuário tentava abrir o app depois de baixá-lo, surgia na tela a mensagem de erro “O System Update parou de funcionar”. O ícone do programa sumia da gaveta de apps, mas continuava no sistema, infectando o dispositivo com um spyware chamado SMSVova.

Com o vírus no local, um hacker poderia tomar controle do smartphone da vítima apenas enviando uma mensagem SMS com o termo “get faq”. Remotamente, o criminosos poderia ter acesso a todos os dados do dono do celular e ainda trocar a senha de bloqueio para deixá-lo inacessível.

De acordo com os pesquisadores da Zscaler, embora o app malicioso já tenha sido apagado do Google Play, é possível que o código do SMSVova esteja inserido em outro vírus disfarçado. Fica a dica para quem usa Android: não baixe supostas “atualizações de sistema” pelo Google Play. Os updates vêm pelo app de configurações.

O pesquisador de segurança Gal Beniamini, que trabalha para o Project Zero, do Google, descobriu recentemente uma vulnerabilidade séria que afeta os chipsets Wi-Fi usados em dispositivos iOS e Android.

Segundo o pesquisador, um hacker poderia utilizar uma rede Wi-Fi compartilhada para executar códigos arbitrários em um dispositivo vulnerável sem precisar de nenhuma interação com o usuário.

A descoberta foi considerada grave o suficiente para que a Apple não perdesse tempo em corrigir o erro, tanto que disponibilizou o iOS 10.3.1 no início da semana. O Google, entretanto, está consciente da vulnerabilidade, mas a melhoria na segurança de dispositivos Android ainda não está amplamente disponível.

A vulnerabilidade parece afetar todos os modelos de iPhone desde o iPhone 4s, vários smartphones da linha Nexus e a maior parte dos Samsung Galaxy.