BLOG DO ALTIERES ROHR
O Google removeu 17 aplicativos da loja Play Store que estavam contaminados com um vírus para Android conhecido como “Joker”. De acordo com a empresa de segurança Zscaler, que disse ter realizado a denúncia ao Google e publicou uma análise dos apps, os programas conseguiram obter 120 mil downloads.
O vírus Joker, que estava presente nos aplicativos, é conhecido desde 2017. Ele realiza fraudes de pagamentos, seja nos próprios aplicativos – com assinaturas irregulares – ou por meio de compras realizadas por meio de SMS. O vírus também captura mensagens de SMS e a lista de contatos.
Os programas maliciosos foram cadastrados na loja oficial do Android com a promessa de realizar funções como digitalizar e converter documentos para PDF, traduzir texto, enviar mensagens seguras e editar fotografias.
Caso algum dos 17 apps maliciosos tenha sido instalado, ele deve ser automaticamente removido do aparelho pelo Google Play Protect. Esse sistema de segurança faz parte da Play Store e analisa todos os programas instalados e baixados no aparelho.
O Play Protect faz análises periódicas no aparelho. Para iniciar uma análise manual, abre o app da Play Store e procure a opção “Play Protect” no menu.
Como o Joker se ‘esconde’
Em janeiro, o Google revelou que já removeu mais de 1.700 aplicativos contendo o Joker (que a empresa chama de “Bread”) desde a sua descoberta em 2017. Em julho e agosto, outros 17 aplicativos com o Joker foram identificados pelas empresas de segurança Check Point e Pradeo.
Especialistas apontam que o Joker adota diversas técnicas para burlar mecanismos de segurança e não ser detectado pelos filtros da loja do Google.
O código do vírus é sempre baixado após a instalação inicial do app, o que significa que a versão cadastrada na Play Store não contém a praga digital.
Embora o vírus em si atue quase sempre da mesma maneira, o método utilizado para baixá-lo varia de um app para outro.
A Zscaler informou, por exemplo, que alguns utilizam uma instalação de dois estágios – ou seja, o app malicioso aparentemente inofensivo cadastrado na Play Store baixa outro app malicioso (primeiro estágio) que então baixa o vírus (segundo estágio).
Em outras versões, o download ocorre em uma única etapa, mas o mecanismo para esconder o endereço varia – desde criptografia até palavras “inúteis” no meio do endereço, que são ignoradas pelo código.
Com essas pequenas diferenças, não é fácil detectar todos os apps maliciosos cadastrados na Play Store após uma única versão do vírus ser identificada, nem adotar filtros capazes de identificar versões futuras do programa.
Usuários, no entanto, podem se precaver evitando a instalação de aplicativos com avaliações muito baixas, cadastrados recentemente ou com outros sinais suspeitos.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com