Malware inovador para Android usa sistema de ‘múltiplos estágios’

Acesse:http://idgnow.uol.com.br/mobilidade/2012/07/12/malware-inovador-para-android-usa-sistema-de-multiplos-estagios/

Aplicativos maliciosos foram encontrados na loja online e eram disseminados por meio de um app secundário, instalado após download

Pesquisadores em segurança da empresa de antivírus Symantec identificaram dois malwares em aplicativos do Google Play, que utiliza um sistema de entrega de vírus em múltiplos estágios, para que não fossem facilmente identificados.

Os apps, que já foram removidos pelo Google, se disfarçavam de jogos: “Super Mario Bros.” e “GTA 3 – Moscow city.”

“Ambos foram colocados no Google Play em 24 de junho e passaram a gerar uma média de 50 mil e 100 mil downloads”, disse o pesquisador em segurança da Symantec, Irfan Asrar, na terça-feira (10/7), em um post no blog oficial.

Uma vez instalados, os aplicativos baixavam um pacote adicional de uma conta do Dropbox chamado de “Activator.apk” e solicitava aos donos dos celulares que o instalassem.

O fato de os vírus serem entregues em múltiplos aplicativos talvez seja a causa para que eles tenham ficado tanto tempo no Google Play sem que fossem identificados, segundo Asrar.

No começo do ano, o Google começou a usar escaneamento automático chamado de Bouncer, para detectar malwares no Google Play. O Bouncer emula um ambiente Android e roda todos os aplicativos publicados, monitorando atividades suspeitas.

No entanto, baixando o app secundário de um servidor de desenvolvimento e solicitando que  usuário o instale, não significa que seja um malware.

Essa não é a primeira vez que crackers utilizam múltiplos aplicativos para produzir um malware. O Android.Lightdd e o Android.Jsmshider, descobertos em 2011, baixavam componentes adicionais depois da instalação inicial.

Segundo Asrar, há uma série de vantagens em utilizar esse esquema para disseminar vírus. Primeiro, o app malicioso inicial não precisa exibir uma lista extensa de permissões que possam deixar os usuários desconfiados.

Depois, se o app inicial for baixado do site oficial do Android, o Google Play, é mais provável que o usuário pressuponha que o aplicativo adicional também tenha vindo da mesma fonte.

A Symantec identificou os dois novos malwares como Android.Dropdialer. Segundo Asrar, a equipe de segurança do Android removeu imediatamente a ameaça depois de serem notificados pela empresa de antivírus.

Curiosidades na internet