Usando o símbolo da loja de aplicativos da gigante das buscas e o nome “googl app stoy”, o programa malicioso abria como se fosse funcionar quando o dono do aparelho infectado clicava no ícone pela primeira vez. No entanto, após solicitar as permissões de acesso do usuário, uma mensagem de erro em coreano era exibida afirmando que o software seria desinstalado, mas tudo o que acontecia era o desaparecimento do atalho.
Mesmo após a “remoção” do programa, é possível encontrá-lo abrindo as configurações do sistema operacional e observando a lista de processos em funcionamento, rodando outros cinco serviços e fazendo uso de um servidor DNS dinâmico com o protocolo SSL do Gmail. Dessa forma, o malware é capaz de coletar os dados desejados e enviá-los para seus criadores ao mesmo tempo em que usava suas credenciais para fugir do radar dos antivírus.
Duro de apagar
De acordo com a FireEye, o pacote do malware “googl app stoy” tem o nome “com.sdwiurse” e o aplicativo que roda em segundo plano não pode ser removido manualmente, já que a opção para desinstalá-lo fica desabilitada. Embora exista a possibilidade de desativar o funcionamento do programa malicioso, os serviços simplesmente voltam a funcionar após uma reinicialização do smartphone ou tablet.A empresa de segurança afirma que o aplicativo baixado ocupava apenas 1,7 MB e tinha poucas linhas de código, de forma a escondê-lo melhor dos antivírus. “Depois de decriptado e descomprimido, no entanto, o pacote real de arquivos do malware completo chegava aos 2,2 MB”, afirma a análise da FireEye.
Após descobrir e estudar o programa malicioso, a companhia reportou a ameaça à Google e auxiliou a gigante das buscas para derrubar as contas de email usadas pelos hackers responsáveis, onde foram encontrados dados bancários e outras informações das vítimas. Embora a ameaça do “googl app stoy” tenha sido eliminada, fica o alerta para quem costuma baixar aplicativos fora do Google Play ou de outras lojas oficiais, como a da Amazon.
Nenhum comentário:
Postar um comentário