Dez aplicativos, sendo que nove estão disponíveis na Google Play Store (loja de apps para Android), foram identificados furtando informações de login e senha do Facebook de usuários que os baixam, pensando que são ferramentas legítimas.
- Banco Central da Dinamarca foi vítima do ataque a cadeia de suprimentos da SolarWinds
- Grupo Fleury foi vítima do mesmo ransomware que infectou TJ-RS, Sol Oriens, JBS e Colonial Pipeline
- Crackonosh: novo malware criptojacker infecta usuários de jogos piratas
Os aplicativos maliciosos foram descobertos por pesquisadores da Dr. Web, uma desenvolvedora de um antivírus com o mesmo nome, com sede em Moscou, Rússia. Segundo eles, juntos, os aplicativos somam mais de 5 milhões de downloads. São eles:
- PIP Photo, com 5 milhões de downloads;
- Processing Photo, com mais de 500 mil downloads;
- Rubbish Cleaner, com mais de 100 mil downloads;
- Horoscope Daily, com mais de 100 mil dowloads;
- Inwell Fitness, com mais de 100 mil downloads;
- App Lock Keep, com mais de 50 mil downloads;
- Horoscope Pi, com mais de mil downloads;
- App Lock Manager, com pouco mais de 10 downloads.
Como explicam os pesquisadores, os aplicativos foram disfarçados de ferramentas legítimas (como edição de vídeo, limpeza de dados, consulta de horóscopo, exercícios físicos e armazenamento seguro de dados), mas escondem um Trojan perigoso, capaz de furtar registros de login e senha, armazenados no smartphone da vítima.
A empresa informa que entrou em contato com o Google, que removeu alguns dos aplicativos listados. "Após o relatório, [...] parte desses aplicativos maliciosos foram removidos da Google Play", escrevem os pesquisadores. A The Hack procurou os aplicativos na Google Play e, felizmente, não encontrou nenhum.
Mesmo código, mesmo malware
Os aplicativos eram completamente funcionais e ofereciam anúncios, o que colaborou para que os usuários os mantivessem em seus smartphones. Mas, para desativar os anúncios, bastava efetuar login com o Facebook, onde eram furtados os dados.
"Depois que a vítima se conectava com sua conta do Facebook, os trojans também roubavam os cookies da sessão de autorização atual. Esses cookies também eram enviados para os cibercriminosos", explicam.
Todos os aplicativos analisados pela empresa apresentaram sinais de terem sido desenvolvidos com base no mesmo trojan, "uma vez que usam formatos de arquivo de configuração idênticos e scripts JavaScript idênticos para roubar dados do usuário."
Os pesquisadores da Dr. Web recomendam que os usuários façam downloads de aplicativos apenas de fontes confiáveis. Mas, caso não sejam, que procurem as avaliações de usuários e outras informações sobre eles e seus desenvolvedores na web.
"Você também deve prestar atenção a quando e quais aplicativos solicitam que você faça login em sua conta. Se você não tiver certeza de que o que está fazendo é seguro, seria melhor não prosseguir e desinstalar o programa suspeito", concluem.
Fonte: Dr. Web.