domingo, 26 de janeiro de 2014

Malware Android

Malware do Windows tenta infectar aparelhos Android, diz Symantec

Da Redação 24 de janeiro de 2014 - 16h27

O malware parece ter como alvo usuários de serviços bancários online da Coreia do Sul. Mas vale a pena ficar atento.
Um novo malware tenta instalar um vírus bancário móvel em dispositivos Android quando são conectados a PCs infectados, de acordo com pesquisadores da Symantec.

Esse método de atingir equipamentos Android é incomum, já que os cibercriminosos normalmente optam pela engenharia social e aplicativos falsos hospedados em lojas online de terceiros para distribuir códigos maliciosos.

"Já vimos malwares para Android que tenta infectar sistemas Windows", disse a pesquisadora da Symantec, Flora Liu, na quinta-feira em um post no blog da empresa. "O Android.Claco, por exemplo, realiza o download de um arquivo PE [executável portátil] malicioso junto com um arquivo autorun.inf e os coloca no diretório raiz do cartão SD. Quando o dispositivo móvel comprometido é conectado a um computador pelo USB, e se o recurso de execução automática estiver ativado no computador, o Windows irá executar automaticamente o arquivo arbitrário."

"Curiosamente, nós recentemente nos deparamos com algo que funciona ao contrário: a ameaça do Windows que tenta infectar dispositivos Android", disse Flora.

O novo malware, apelidado de Trojan.Droidpak pela Symantec, entrega um arquivo DLL no computador com Windows e registra um novo serviço de sistema para garantir sua permanência entre as reinicializações. Em seguida, ele baixa um arquivo de configuração de um servidor remoto que contém o local de um APK (pacote de aplicativos Android) malicioso chamado "AV- cdk.apk".

Vale ressaltar que arquivos com a extensão ".dll" não são necessariamente arquivos ruins, porque eles são comumente utilizados em bibliotecas de softwares, o que faz o programa rodar corretamente.

O programa faz o download do Trojan APK malicioso, da mesma forma que o Android Debug Bridge (ADB) - uma ferramenta de linha de comando que permite que os usuários executem comandos em dispositivos Android conectados a um PC. O ADB faz parte do kit oficial de desenvolvimento de software (SDK) para Android.

O malware executa o comando "adb.exe instalar AV- cdk.apk" várias vezes para garantir que, se um dispositivo Android estiver conectado ao computador em qualquer momento, a APK malicioso é instalado silenciosamente nele.

No entanto, esta abordagem tem uma limitação: só vai funcionar se uma opção chamada "depuração USB" estiver ativada no dispositivo Android.

A depuração USB é uma configuração normalmente usada por desenvolvedores Android, mas também é necessário para algumas operações que não estão diretamente relacionados com o desenvolvimento, como o rooting do sistema operacional, capturas de tela em dispositivos rodando versões antigas do Android ou instalação de firmware Android personalizado.

Mesmo se este recurso for raramente usado, os usuários que o habilitarem uma vez para executar uma determinada tarefa podem, por ventura, esquecer de desativá-lo quando não é mais necessário.

O APK malicioso foi detectado pela Symantec como sendo o Android.Fakebank.B e se disfarça como um aplicativo oficial do Google Play. Uma vez instalado em um dispositivo, ele usa o nome "Google App Store" e exibe o ícone legítimo da loja virtual.

O malware parece ter como alvo usuários de serviços bancários online da Coreia do Sul.

"O APK malicioso de fato procura por determinadas aplicações bancárias online coreanas no dispositivo comprometido e, se as encontra, solicita que os usuários as apaguem e instalem versões maliciosas", disse Liu. O malware também intercepta mensagens SMS recebidas pela vítima e as envia para um servidor remoto.

Focar em apps bancários e roubar mensagens SMS que podem conter autorizações de transações online enviadas pelos bancos aos usuários sugerem o objetivo dos autores dessa ameaça.

Mesmo esse malware, em particular, ter como alvo usuários de um determinado país, os criadores de ameaças costumam trocar ideias entre eles para replicar métodos de ataques que foram bem-sucedidos.

Flora aconselhou os usuários a desativarem o recurso de depuração USB em seus dispositivos Android, quando não estiverem mais utilizando e serem cautelosos ao conectar seus dispositivos móveis em computadores que não confiam.

IDG

Nenhum comentário: