×

Um editor de fotos diferente

27/10/2019

Não faz muito tempo, descobrimos alguns programas maliciosos no Google Play que se apresentavam como aplicativos de fotos. Ambas as aplicações já acumulavam mais de 10 mil downloads. Assim, disponibilizadas por um período suficiente para conseguir tantos downloads e camufladas ao ponto de não chamar atenção, pois eram apenas “mais um editor de fotos”.

Dois editores de fotos quase idênticos, supostamente de diferentes desenvolvedores, que ativam uma assinatura paga secretamente.

 

O único detalhe que chamaria a atenção de um usuário mais observador era que os aplicativos não pararam de solicitar acesso às notificações repetidas vezes e não aceitaram uma resposta negativa. Todas as mensagens recebidas aparecem nas notificações, o que significa que os editores de fotos, se tivessem permissão, poderiam lê-las. Mas um editor de fotos não precisa desse acesso. Normalmente, essa funcionalidade faz sentido para estabelecer uma comunicação com um smartwatch. Então, por que pediram isso?

Após a instalação, o suposto editor de fotos coletou as informações (número de telefone, modelo do smartphone, tamanho da tela, operadora de celular, etc.) e as enviou para o servidor dos cibercriminosos. Por sua vez, o app recebeu uma lista de endereços web que direcionaram (por meio de vários redirecionamentos) para uma página de pagamento de assinatura.

Você já deve ter se deparado com assinaturas pagas em algum momento. Às vezes, elas são o tom que ouve quando recebe uma chamada e isso requer um pagamento diário, ou também mensagens WAP ou SMS que você não precisa, mas que de real em real, consomem os créditos do seu telefone. A popularidade dessas assinaturas varia dependendo do país em que você está localizado. Muitas vezes, as pessoas se inscrevem por simples descuido. Não lêem as letras miúdas e, antes que percebam, estão pagando por um horóscopo. Em geral, as vítimas de páginas de pagamento só percebem que essas assinaturas estão ativas quando o saldo se esgota rapidamente.

Neste caso particular, a tarefa do malware é que a vítima se inscreva ao conteúdo pago sem levantar suspeitas. Para isso, o que ele faz é desabilitar o wifi e carregar as páginas maliciosas por meio de dados móveis em janelas que o usuário não vê. E, para preencher os campos obrigatórios (por exemplo, um número de telefone), use as informações coletadas anteriormente. Se o processo de assinatura usar um CAPTCHA, a imagem será enviada para um serviço especial para descriptografia; e se for necessário um código de verificação por SMS que será interceptado devido ao acesso às notificações.

Como evitar assinaturas indesejadas

Calcular imediatamente o possível dano de um aplicativo malicioso é difícil, mas existem maneiras de saber se uma aplicação é suspeita e se proteger de recursos ocultos.

  • Revise com cuidado a lista de permissões que o programa solicita. Se um aplicativo solicitar acesso a permissões potencialmente perigosas e você considerá-las desnecessárias, não tenha medo de rejeitá-las. E se você insistir, exclua-o.
  • Use uma solução de segurança Se a sua operadora de celular oferece a opção, abra uma “conta de conteúdo” adicional ou ative o serviço de bloqueio de assinatura.
Comentar