Quase 150 milhões de usuários impactados pelo novo adware Android SimBad

Cerca de 150 milhões de usuários podem ter baixado e instalado um aplicativo Android em seus telefones que continha uma nova linha de adware chamada SimBad.

O adware era disfarçado como um kit de publicidade chamado RXDrioder, que todos os aplicativos afetados usavam para controlar como os anúncios eram exibidos aos usuários.

Mas de acordo com um relatório compartilhado com a ZDNet hoje pela empresa de segurança cibernética Check Point, os fabricantes de RXDrioder estavam secretamente usando o código de seu kit para esconder malware dentro de outros aplicativos e sequestrar dispositivos para exibir anúncios para seu próprio lucro.

“Acreditamos que os desenvolvedores foram enganados para usar este malicioso SDK, sem saber de seu conteúdo, levando ao fato de que esta campanha não estava visando um município específico ou desenvolvido pelo mesmo desenvolvedor”, disse a Check Point.

No total, a empresa identificou o kit de publicidade malicioso em 210 aplicativos Android que foram enviados à Google Play Store oficial, todos baixados por cerca de 150 milhões de usuários.

A maioria dos aplicativos contaminados eram jogos de corrida ou de tiro.

A Check Point diz que o kit RXDrioder continha muitos recursos sorrateiros que não têm lugar em um kit de desenvolvimento de software de publicidade (SDK).

Por exemplo, o RXDrioder pode ocultar os ícones de um aplicativo, uma tática mais comumente encontrada no malware do Android, que o usa com o único objetivo de ocultar aplicativos maliciosos e dificultar a desinstalação dos aplicativos por parte dos usuários.

Mas, apesar de ser um recurso sorrateiro, a Check Point diz que os operadores do SimBad abusaram principalmente dos recursos legítimos de publicidade do SDK para obter lucro privado.

A equipe do SimBad teve a capacidade de enviar instruções para todos os aplicativos que integraram o SDK do RXDrioder e controlá-los por trás das costas de seus verdadeiros desenvolvedores.

SimBad
De Stock: Ponto de verificação

A Check Point afirma que os vigaristas abusaram principalmente da capacidade do SDK de sobrepor anúncios, abusando dele para mostrar seus próprios anúncios. No entanto, eles também podem forçar o navegador de um usuário a abrir em um URL específico para exibir anúncios adicionais ou até mesmo abrir as lojas de aplicativos Play Store e 9Apps para aplicativos específicos, caso desejem participar de esquemas de monetização de aplicativos de pagamento por instalação.

Mas essas não eram todas as características que a Check Point descobriu no código do adware. O SimBad também pode mostrar notificações personalizadas e até instalar novos aplicativos a partir de um servidor designado atrás do usuário.

Todos os aplicativos que usavam o RXDrioder SDK, e estavam vulneráveis ​​a serem controlados pela equipe do SimBad, foram removidos.

“O Google respondeu rapidamente”, Jonathan Shimonovich, Gerente do Grupo de Pesquisa e Desenvolvimento da Check Point, disse à ZDNet por email. “Levou algumas semanas para revisar os aplicativos e conduzir sua própria investigação até que [os aplicativos fossem] finalmente removidos”.

Uma lista contendo os nomes e códigos de pacote de todos os 210 aplicativos afetados pelo SimBad estará disponível no relatório da Check Point neste link .

A escala do SimBad é enorme, e o adware agora se junta às fileiras de infestações de adware da Play Store igualmente ruins, como Chamois , Googligan e HummingBad .

Shimonovich disse que a Check Point não havia identificado nenhuma conexão entre o SimBad e as outras linhagens de adware, o que significa que essa é provavelmente uma nova ameaça.


Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.