Os pesquisadores da Check Point identificaram uma nova família de malware que estava disponível em 56 aplicativos e foi baixada em 1 milhão de vezes em todo o mundo. Deve-se notar que 24 dos aplicativos (incluindo quebra-cabeças e jogos de corrida) eram direcionados a crianças, enquanto o restante era de uso geral (aplicativos de cozinha, tradutores, entre outros). Este novo evento ocorre apenas um mês após os pesquisadores da empresa descobriram que o malware Haken, encontrado em oito aplicativos maliciosos diferentes, havia sido baixado e instalado em mais de 50 mil dispositivos Android.
De acordo com a equipe de pesquisadores da Check Point, o grande número de downloads que os cibercriminosos infiltraram com sucesso no Google Play é surpreendente. Ao combinar isso com uma metodologia de infecção relativamente simples, pode-se deduzir que a Google Play Store ainda pode abrigar aplicativos maliciosos. Além disso, é difícil verificar se todos os aplicativos estão seguros na Play Store, mas, vale alertar aos usuários que eles não podem confiar apenas nas medidas de segurança do Google Play para garantir a proteção de seus dispositivos; devem ter ferramentas ou produtos em todos os seus dispositivos para reforçar a proteção.
Essa nova família de malware, conhecida como Tekya, é um adclicker, uma ciberameaça em ascensão em dispositivos móveis que simula o comportamento do usuário clicando em banners e anúncios de agências como Google AdMob, AppLovin, Facebook e Unity com o objetivo de gerar benefícios financeiros fraudulentos. Além disso, os cibercriminosos por trás desta campanha clonaram aplicativos reais da Play Store, a fim de aumentar o público, principalmente entre crianças, uma vez que a maioria das capas de aplicativos para malware Tekya são de jogos infantis.
Como o Tekya funciona?
Um dos dados mais destacados da investigação realizada pela Check Point revela que o Tekya conseguiu contornar as medidas de segurança do VirusTotal e do Google Play Protect, um sistema desenvolvido pelo Google para garantir a segurança do sistema operacional Android. Nesse sentido, essa variante de malware foi camuflada como parte do código nativo dos aplicativos e usou o mecanismo ‘MotionEvent’ no Android (introduzido em 2019) para imitar ações do usuário e gerar cliques.
Por outro lado, quando um usuário baixava qualquer um dos aplicativos infectados no dispositivo, um receptor (‘us.pyumo.TekyaReceiver’) era registrado automaticamente, permitindo que diferentes ações fossem executadas, como “BOOT_COMPLETED” (permite que o código seja executado quando o dispositivo é iniciado, conhecido como “inicialização a frio”), “USER_PRESENT” (para detectar quando o usuário está ativamente usando o dispositivo) e “QUICKBOOT_POWERON” (para permitir que o código malicioso seja executado após reiniciar o dispositivo).
Como os usuários podem se proteger contra esse tipo de ameaças cibernéticas?
Apesar do fato de a Check Point ter revelado essas descobertas ao Google e a ameaça já ter sido erradicada, essa situação destaca mais uma vez que os mercados de aplicativos em geral, e o Google Play Store em particular, são vulneráveis e suscetíveis a serem invadidos. Atualmente, existem quase 3 milhões de aplicativos disponíveis na Play Store e existem centenas de novos programas de computador que são desenvolvidos e se tornam parte desse mercado todos os dias, dificultando a verificação da veracidade e segurança de cada um.
Dessa forma, os especialistas da empresa apontam que os usuários não podem confiar apenas nas medidas de segurança do Google Play para garantir a proteção de seus dispositivos. A recomendação é remover qualquer tipo de aplicativo suspeito e instalar as atualizações mais recentes do sistema operacional e demais programas para garantir a segurança do dispositivo. Eles também destacam a importância de ter ferramentas de qualidade para lidar com esses riscos cibernéticos.
Pelo lado da Check Point, a empresa fornece o SandBlast Mobile, uma solução contra ameaças móveis avançadas com infraestrutura de proteção de rede no dispositivo. Ao revisar e monitorar todo o tráfego de rede do dispositivo, o SandBlast Mobile evita ataques de roubo de informações em todos os aplicativos, e-mail, SMS, iMessage e aplicativos de mensagens instantâneas. Essa solução também impede o acesso a sites mal-intencionados e o acesso e comunicação do dispositivo com redes de bots, para os quais valida o tráfego no próprio dispositivo sem rotear os dados através de um gateway corporativo.