Novos aplicativos de malware para Android usam o sensor de movimento para evitar a detecção

Mesmo depois de tantos esforços do Google em impedir que sua Play Store fosse mal-intencionada, os aplicativos suspeitos conseguiram enganar suas proteções anti-malware e entrar em seu serviço para infectar usuários do Android com malware.

Dois desses aplicativos para Android foram vistos recentemente na Google Play Store por pesquisadores de segurança da equipe de pesquisa de malware da Trend Micro, infectando milhares de usuários do Android que já os baixaram com malware bancário.

Os aplicativos em questão se disfarçam como um aplicativo de troca de moeda chamado Currency Converter e Battery Saver, chamado BatterySaverMobi , e estão usando entradas de sensores de movimento de dispositivos Android infectados para monitorá-los antes de instalar um Trojan bancário perigoso chamado Anubis.

Os aplicativos maliciosos do Android, com um grande número de falsos comentários cinco estrelas, usam este truque inteligente em vez de técnicas tradicionais de evasão para evitar a detecção quando os pesquisadores executam emuladores (que são menos propensos a usar sensores) para detectar esses aplicativos maliciosos.

“À medida que um usuário se movimenta, seu dispositivo geralmente gera uma certa quantidade de dados de sensores de movimento. O desenvolvedor de malware está assumindo que o sandbox para a varredura de malware é um emulador sem sensores de movimento e, como tal, não cria esse tipo de dados” explicar em um 

post publicado quinta-feira.”Se for esse o caso, o desenvolvedor pode determinar se o aplicativo está sendo executado em um ambiente seguro, simplesmente procurando dados do sensor.”
Depois de baixado, o aplicativo malicioso usa o sensor de movimento do dispositivo infectado para detectar se o usuário ou o dispositivo está em movimento. Se o dispositivo e o usuário ainda estiverem, o código malicioso não será executado.

Assim que detecta os dados do sensor, o aplicativo executa o código malicioso e, em seguida, tenta enganar as vítimas para baixar e instalar o mal-intencionado Anubis payload APK com uma atualização do sistema falso, mascarando-se como uma “versão estável do Android”.

Não apenas detecção de movimento … há mais

Se o usuário aprovar a falsa atualização do sistema, o malware embutido usa solicitações e respostas sobre serviços legítimos, incluindo Twitter e Telegram, para se conectar ao servidor de comando e controle (C & C) e faz o download do Trojan bancário Anubis no dispositivo infectado.

“Uma das maneiras pelas quais os desenvolvedores de aplicativos escondem o servidor malicioso é codificando-o em solicitações de páginas da Web do Telegram e do Twitter. O conta-gotas de malware do banco solicitará o Telegram ou o Twitter depois de confiar no dispositivo em execução”, explicam os pesquisadores.”Então, ele registra-se no servidor C & C e verifica os comandos com uma solicitação HTTP POST. Se o servidor responder ao aplicativo com um comando APK e anexar o URL de download, a carga útil do Anubis será descartada em segundo plano.”
Uma vez comprometido, o cavalo de Troia bancário Anubis obtém as credenciais da conta de cozimento dos usuários usando um keylogger embutido ou tirando screenshots da tela dos usuários quando inserem credenciais em qualquer aplicativo bancário.

Normalmente, os Trojans bancários lançam uma tela de sobreposição falsa no topo das páginas de login da conta bancária para roubar as credenciais bancárias.

De acordo com os pesquisadores da Trend Micro, a última versão do Anubis foi distribuída para 93 países diferentes e tem como alvo usuários de pelo menos 377 variações de aplicativos financeiros para extrair detalhes de contas bancárias.

O Trojan bancário também tem a capacidade de obter acesso a listas de contatos e localização, enviar mensagens de spam para contatos, ligar para números do dispositivo, gravar áudio e alterar o armazenamento externo.

Desde então, o Google removeu os dois aplicativos maliciosos de sua Play Store. Embora seja uma preocupação sem fim, a melhor maneira de se proteger de tal malware é estar sempre atento ao fazer o download de aplicativos, mesmo na loja oficial do Google Play.

Mais importante, tenha cuidado com os aplicativos aos quais você concede direitos administrativos, pois é uma permissão poderosa que pode fornecer controle total do seu dispositivo.