Principais conclusões
- Foi descoberto que um novo malware está se infiltrando em dispositivos Android por meio de SDKs de publicidade comprometidos.
- O Necro Trojan foi encontrado em dois aplicativos da Play Store, a saber, Wuta Camera e Max Browser. Ele também foi encontrado em versões modificadas de aplicativos populares como WhatsApp, Minecraft e Spotify.
- Os dois aplicativos da Play Store sozinhos têm mais de 11 milhões de downloads. Usuários dos aplicativos infectados são aconselhados a desinstalar e executar uma verificação de segurança.
Parece uma prática recorrente agora — escrever sobre malware para Android. “Trojans disfarçados de atualizações do Google Play são as próximas grandes ameaças aos seus dados”, “Um novo malware para Android está esvaziando contas bancárias e limpando dispositivos” e “Novo malware perigoso usa cookies para invadir contas do Google” são apenas algumas das histórias de malware malicioso que relatamos este ano, e uma nova onda de infecções está vindo à tona agora.
Em um relatório da SecureList by Kaspersky, via BleepingComputer, o provedor de antivírus destacou um novo Necro Trojan que tem se infiltrado furtivamente em milhões de dispositivos Android por meio de ataques maliciosos à cadeia de suprimentos de SDKs usando SDKs de publicidade comprometidos.
A presença do malware foi encontrada em dois aplicativos da Play Store, a saber, o Wuta Camera da Benqu e o agora removido Max Browser. O primeiro ostenta mais de 10 milhões de downloads e continha o Necro Trojan da versão 6.3.2.148 (18 de julho) até a versão 6.3.6.148 (20 de agosto).
Este último, o Max Browser, foi baixado mais de 1 milhão de vezes antes de ser removido da Play Store, conforme indicado pelo BleepingComputer, e sua versão mais recente, 1.2.0, ainda abriga o malware.
Em outros lugares, o alcance do Necro também se estende a versões modificadas de aplicativos populares como WhatsApp, Spotify e Minecraft, que normalmente são distribuídos por meio de sites e lojas de aplicativos não oficiais — portanto, seu alcance não pode ser quantificado.
O que o Trojan Necro faz?
A maneira como o Trojan afeta principalmente um dispositivo é instalando nele um adware que carrega sites por meio de janelas invisíveis do WebView, essencialmente arrecadando receita de anúncios para o invasor às suas custas.
O Trojan também pode baixar e executar código arbitrário no dispositivo infectado, facilitar fraudes de assinatura e rotear tráfego malicioso, o que pode dificultar o rastreamento de sua origem.
O BleepingComputer sugere que o Google está ciente do Trojan e dos aplicativos que o hospedam, e está investigando o problema no momento. Para os usuários, isso significa estar ainda mais ciente dos aplicativos que eles baixam. Se você baixou um dos aplicativos infectados, seria prudente desinstalar rapidamente o aplicativo e escanear seu dispositivo com um antivírus confiável. Também seria sensato alterar senhas importantes, mesmo que não pareça que o Trojan estava comprometendo contas de usuários.
O recurso Play Protect da Play Store, que essencialmente executa uma verificação de segurança em aplicativos na Play Store antes de você instalá-los, é um salva-vidas em tais situações e deve permanecer habilitado. A ferramenta também pode escanear seu dispositivo em busca de aplicativos prejudiciais depois que eles foram baixados e instalados, além de enviar alertas sobre aplicativos que podem acessar suas informações pessoais.
O Play Protect está ativado por padrão, mas se você o desativou anteriormente por qualquer motivo, veja como ativá-lo novamente:
- Abrir Loja Google Play.
- Toque no seu ícone de perfil no canto superior direito.
- Tocar Brincar de Proteger → Configurações.
- Habilitar Escaneie aplicativos com o Play Protect.
Para escanear seu dispositivo via Play Protect, basta navegar até Loja de jogos → ícone de perfil → Brincar de Proteger → Digitalizar.
