NesSa segunda-feira,5, uma nova campanha com o velho conhecido malware Sharkbot voltou a usar aplicativos antivírus e utilitários como isca para contaminar smartphones com Android. Com isso, novamente, veio um alcance considerável, com os dois aplicativos usados nessa ofensiva acumulando mais de 60 mil downloads por meio da Play Store, antes de serem removidos pelo Google.

A praga se escondia nos apps Mister Phone Cleaner, que prometia proteger o aparelho e melhorar a performance, e no Kylhavy Mobile Security, que como o nome indica, tinha foco em segurança. Em ambos os casos, as aplicações não continham códigos maliciosos, com o Sharkbot sendo entregue após a instalação, por meio de uma suposta atualização das soluções.

É mais uma maneira usada pelos cibercriminosos de escapar da detecção automática pelos sistemas de segurança do Google. Ajuda, também, o fato de a praga não tentar abusar dos Serviços de Acessibilidade do sistema operacional, uma alternativa comum em ofensivas assim, mas que também vem recebendo atenção por parte da empresa. Em vez disso, a tal atualização vem na forma de um APK contendo a praga e depende de interação do usuário para ser instalada.

Uma vez que esse processo é concluído, o vírus é capaz de interceptar mensagens SMS, coletar dados digitados e controlar o aparelho remotamente, além de roubar cookies que permitam a intrusão a contas dos usuários. Sempre que detecta uma sessão aberta em aplicativo bancário ou carteira de criptomoedas, tais dados são enviados a um servidor de comando e controle, através do qual os criminosos podem realizar fraudes posteriormente.

Nova campanha 

A nova campanha foi descoberta pelos pesquisadores em segurança da Fox IT e demonstram um desenvolvimento contínuo do Sharkbot diante de mudanças implementadas pelo Google para dar mais segurança ao Android. Entre elas, estão alertas mais visíveis sobre o risco de conceder acesso aos Serviços de Acessibilidade e maior escrutínio de apps publicados na loja oficial, ambas abordadas por essa nova versão da praga.

De acordo com o relatório sobre a exploração, usuários de cinco países seriam os alvos: Estados Unidos, Espanha, Alemanha, Polônia e Áustria. A recomendação de segurança principal envolve atenção no download de soluções, com o usuário devendo preferir apps que venham de desenvolvedores certificados e que tenham boa reputação, bem como um bom número de downloads.

Enquanto o perigo específico passou, com a retirada dos softwares da Play Store, os usuários que realizaram o download ainda estão em risco e devem apagar os apps o mais rapidamente possível, realizando varreduras e checagens de segurança no smartphone. Além disso, como uma campanha em andamento, é provável que o Sharkbot volte a atacar, com a cautela citada sendo o melhor caminho para proteção.