Check Point deteta malware que utiliza ocultação personalizada

Liliana Barragão,

A Check Point Software Technologies, empresa de software e tecnologia especializada em segurança, alertou para o perigo de um novo adware descoberto no Google Play, o Skinner. Este adware é também um malware inserido no código de uma app relacionada com videojogos e já foi descarregada por mais de dez mil utilizadores durante os mais de dois meses em que esteve disponível na loja oficial da Android.

Skinner pode rastrear a localização e as ações do utilizador e efetuar códigos a partir do seu servidor de Comando & Controlo sem a permissão do dono do terminal. Assim que a  equipa de investigadores de ameaças móveis da Check Point descobriu esta nova ameaça entrou em contacto com a equipa de segurança da Google, que eliminou a app.

Torna-se atividade maliciosa a partir do momento em que o adware identifica uma ação por parte do utilizador, como abrir uma app, por exemplo. Antes mesmo de se iniciar verifica algumas condições, como confirmar se há algum depurador ou hardware de emulação conectado, ou se a aplicação foi instalada a partir do Google Play. Desta forma,  evita a ação dos investigadores e os seus métodos de proteção. Depois de iniciado, o malware envia para o servidor C&C informações sobre a localização do dispositivo e as aplicações abertas.

Este malware utiliza um estratégia única e bastante inovadora para garantir que o utilizador não reconhece que está a visualizar publicidade enganadora, o que aumenta a probabilidade de clicar nos anúncios. Skinner comprova que tipo de aplicação está a ser usada num determinado momento e mostra o anúncio adequado, pelo que não recorre ao uso de banners ou pop-ups.

Ao contrário de outros adwares que se baseiam na difusão massiva para gerar lucros, este angaria as mesmas quantias infetando menos utilizadores, o que diminui o risco de vir a ser detetado pelas empresas de segurança. O princípio é que quanto menor é a propagação de um malware, menor é também a probabilidade de os alarmes dispararem e serem feitas inspeções de segurança. As quatro categorias de apps que descarrega são de navegação GPS, de chamadas, de utilitários e de browsers web.

Apesar de já ter sido identificado malware bancário que atuava de forma semelhante, o comportamento é completamente novo para um adware para equipamentos móveis.  A Check Point espera que este tipo de “publicidade” cresça nos próximos meses, sendo adotado e aperfeiçoado por outras famílias de adware num futuro próximo, melhorando os seus métodos de evasão.

Ainda que não tenha acontecido um ataque à larga escala, a empresa pretende alertar para os riscos na segurança das apps encontradas nas lojas oficiais, realçando que todos os utilizadores vão precisar de ferramentas de segurança avançada nos telemóveis para estarem protegidos.

Saiba mais sobre o Skinner no blogue da Check Point.