App malicioso de Android pode acessar Facebook e fazer downloads

Pesquisadores da Kaspersky detectaram um novo aplicativo trojan que, além de fazer downloads de apps, pode publicar avaliações na Google Play para impulsionar outros títulos.

Apelidado de “Shopper”, o malware traz características que o mantém oculto e ainda usa serviços de acessibilidade do Google. Com isto, ele pode interagir com a interface e os apps do sistema; capturar screenshots; pressionar teclas; imitar gestos e mais.

A empresa não identificou a raiz de como o app malicioso se espalha. No entanto, há a possibilidade de que ele seja baixado em anúncios fraudulentos ou lojas não oficiais.

O aplicativo se esconde com um ícone chamado “ConfigAPKs” (em referência ao formato de apps usado no Android). Depois de instalado, com a tela bloqueada, ele pode coletar informações do dispositivo e enviar para servidores do invasor. Nesta outra ponta, o usuário mal intencionado pode enviar comandos para serem executados.

A Kaspersky relata que de outubro a novembro de 2019, o Trojan-Dropper.AndroidOS.Shopper.a teve maior número de atividade na Rússia (28,46%). O Brasil vem em segundo lugar com 18,70% das infecções; a Índia por sua vez, vem em terceiro com 14,23%.

Na América Latina, países como México e Argentina configuram na lista de infecções com o quinto e décimo segundo lugares, respectivamente.

O que o malware pode fazer

Igor Golovin, analista de malware da Kaspersky, aponta que o Shopper é capaz de exibir anúncios e publicar críticas e classificações falsas. Porém, ressalta, “ninguém pode garantir que seus criadores não se concentrem em algo mais no futuro”.

“Por enquanto, seu foco está nas lojas, mas seus recursos permitem que os invasores espalhem informações falsas pelas contas de mídia social das vítimas e em outras plataformas”, explica.

O Shopper é capaz, por exemplo, de compartilhar vídeos em páginas pessoais das vítimas “ou simplesmente disseminar informações não confiáveis”, acrescenta o analista.

De acordo com a Kaspersky, estas são as capacidades identificadas do aplicativo malicioso:

• Acessar contas do Google ou Facebook para se inscrever em aplicativos de compras e entretenimento
• Avaliar aplicativos da Google Play usando a conta proprietária do dispositivo
• Revisar direitos de uso dos serviços de acessibilidade
• Desativar o Google Play Protect, camada de segurança que verifica apps da loja
• Pode abrir links recebidos do servidor remoto e ocultar as janelas
• Exibe anúncios e cria etiquetas para anúncios no menu de apps
• Pode fazer download de aplicativos da loja Apkpure.com
• Pode abrir e instalar apps de publicidade da Google Play
• Substitui tags de aplicativos instalados pelas tags de páginas anunciadas