Um aplicativo Android popular transformado em malware: verifique seu telefone agora
Na semana passada, informamos que o Google havia removido uma extensão popular do Chrome porque novos proprietários a transformaram em um aplicativo de malware. Em uma repetição perturbadoramente comum, praticamente a mesma coisa aconteceu com um aplicativo Android popular, que foi baixado milhões de vezes na Play Store. Do nada, começou a veicular anúncios maliciosos e agora desapareceu.
A Malwarebytes documenta como seus usuários do fórum começaram a relatar ver anúncios pop-up estranhos e redirecionamentos de sites em seus navegadores móveis há pouco mais de um mês. Depois de alguma espionagem pela equipe do serviço, foi determinado que uma atualização de 4 de dezembro do “Barcode Scanner" da Lavabird LTD começou a enviar anúncios de servidores de segurança desnecessários (e possivelmente fraudulentos) para seus milhões de usuários.
O Malwarebytes alertou o Google e a listagem do aplicativo foi removida da Play Store, mas, segundo informações, ele não foi desinstalado remotamente dos telefones dos usuários afetados (como foi o caso da extensão do Chrome). Presumivelmente, o aplicativo escapou do conjunto de proteções normalmente robusto da Play Store, o Google Play Protect, ao instalar o código malicioso como uma atualização inócua em vez de iniciar como um aplicativo falso: ele foi usado inofensivamente por anos antes da atualização.
Se o seu aplicativo de scanner de código de barras se parecer com isso, desinstale-o agora. Leitor de códigos de barra
Não está claro o que motivou a mudança. No caso da extensão do The Great Suspender, obviamente foram os novos proprietários do serviço que o conduziram por um caminho ruim. Para o Barcode Scanner, não houve mudança óbvia na propriedade ou no comportamento do desenvolvedor que tornasse o aplicativo malicioso. Se você está se perguntando qual é o aplicativo canner específico, ele estava anteriormente em https://play.google.com/store/apps/details?id=com.qrcodescanner.barcodescanner. Curiosamente, o desenvolvedor desse aplicativo ainda está ativo na Play Store, com um aplicativo semelhante (não atualizado desde agosto) ainda ativo. Ele está listado com um ícone idêntico e o (possivelmente deliberado?) erro ortográfico de “scanner de código de barras”. Suas informações de desenvolvedor listam Maharashtra, na Índia, como o local, com um endereço genérico do Gmail e uma página da web em branco. Versões anteriores do aplicativo, aparentemente sob a mesma conta de desenvolvedor, mostravam uma página inócua do WordPress como seu site.
Por curiosidade, instalei a versão alternativa do aplicativo. Ele lista uma política de privacidade nessa página do WordPress que tem um aviso bastante rotineiro sobre a veiculação de anúncios no próprio aplicativo, uma prática padrão e aceitável. Eu não vi imediatamente o comportamento de seqüestro do navegador descrito na postagem do blog do Malwarebytes. O que quer que tenha dado errado com o outro aplicativo, não parece estar acontecendo com a duplicata, embora não esteja claro por que o Google não simplesmente destruiu todas as listagens do desenvolvedor.
Os esforços do Google para manter o Android e o Chrome “limpos” têm sido excelentes até agora, apesar de sua vulnerabilidade inerente como plataformas abertas. Mas atores grosseiros podem ser engenhosos em seus esforços para burlar a segurança, e parece que as atualizações de aplicativos de longa data se tornaram um ponto cego. O Google precisa fazer melhor para proteger seus usuários em todas as plataformas.
Fonte: Malwarebytes