O problema é sempre o mesmo. Surge algo que se torna bastante popular e os criminosos começam logo a pensar em formas de se aproveitarem. É exatamente isso que está a passar com uma app Android perigosa que se está a disfarçar de uma das aplicações mais desejadas do mundo. Falo em concreto do ClubHouse. O investigador da empresa de segurança ESET, Lukas Stefanko, foi o responsável por esta descoberta. Infelizmente e como há tantas pessoas que querem deitar a mão ao ClubHouse (que ainda nem existe para Android), várias vítimas já caíram neste esquema.
Alerta! App Android perigosa rouba todos os seus dados de login!
Esta aplicação falsa está a ser servida a partir de um site que parece realmente o original desenvolvido para o Clubhouse. À esquerda temos o site falso e à direita o site oficial.
Esta ameaça é de facto muito perigosa porque consegue roubar os dados de login em mais de 458 serviços online. São exemplo disso, Facebook, Twitter, WhatsApp, Amazon, Outlook e vários bancos.
O investigador da ESET diz que o site onde está a alojada a aplicação parece ser mesmo real. No entanto há uma questão. É que quando carregamos no botão Get on Google Play para fazer download da app, em vez de irmos para a PlayStore, o download começa logo. Isto é logo uma grande “Red Flag”.
Mas até antes de carregarmos no botão descarregar há algo que nos deixa a pensar. É que a ligação ao site é estabelecida por HTTP e não HTTPS. Ou seja não é segura.
Para além disso há outra questão. É que neste momento o ClubHouse só está disponível para iPhone. Vai existir em breve para dispositivos Android, mas por enquanto ainda não há nada.
Assim que a vítima instala esta aplicação ela tenta apoderar-se de todas as credenciais. Parea esse efeito coloca uma camada entre a app e o utilizador. Sempre que a vítima abrir uma app, ela pede-lhe que introduza os seus dados para confirmar e nesse momento eles são imediatamente roubados como refere o site WeLiveSecurity.
Se usar autenticação de dois fatores estou protegido?
Neste caso não vai ajudar. Mesmo que a tenha ativada para aceder a qualquer serviço como o Facebook, Twitter entre outros, esta ameaça vai conseguir interceptar a SMS e usá-la para roubar as suas informações.
Par além de tudo isto, esta app ainda pede à vítima que ative os serviços de acessibilidade para permitir que os criminosos tomem conta do dispositivo.
App Android Perigosa: Os droppers estão na moda
Ainda recentemente foi desoberto um problema do género em apps que estão na Play Store. Neste caso o problema era o dropper Clast82. Está disfarçado de uma aplicação amiga e não tem nada de mal até passar pelo Google Play Protect, ou seja, o mecanismo que verifica se as aplicações têm algum problemas. Só depois de serem analisadas e do Play Protect dizer que elas podem ir à sua vida é que começam os problemas.
Quando a ameaça vê que pode tirar a pele de cordeiro então descarrega duas ameaças muito perigosas. O AlienBot e em alguns casos o MRAT.
Alien quê?
O AlienBot é uma ameaça que permite colocar código perigoso em aplicações financeiras. No entanto, faz muito mais do que isso. Até consegue controlar completamente um dispositivo.
Por outro lado o MRAT não é um ameaça propriamente nova. Na realidade já anda por aí desde 2014. Tem como principal objetivo a recolha de informações e consegue na maioria dos casos evitar a deteção.
Entretanto a Check Point descobriu que para cada aplicação, os criminosos criam uma nova conta de programador na Play Store, juntamente com o código correspondente num repositório do GitHub. Ou seja, há aqui um mecanismo fora do vulgar mas que parece funcionar. É por isto que há nove aplicações na Play Store que estão a ter tanto sucesso a infetar utilizadores e a roubar dados.
Vamos então à lista de aplicações que tem de verificar se tem no seu smartphone:
- BeatPlayer
- Cake VPN
- Duas versões do eVPN
- Music Player
- Pacific VPN
- QR/Barcode Scanner MAX
- QRecorder
- tooltipnattorlibrary
Se tiver alguma destas apps terá de removê-las de imediato.