SophosLabs descobriu 15 apps no Google Play que se envolvem nesse tipo de prática |
Adware é provavelmente o tipo de malware que todos reconhecem quando veem. Difícil não reconhecer quando tudo está na sua cara. Adware significa “advertising malware” (malware de publicidade, em inglês) e é isso que ele faz: apresenta publicidade indesejada usando métodos invasivos e, às vezes, perigosos.
Nem todos os adwares são totalmente horríveis. No melhor dos casos, são apenas irritantes. Mas, no pior dos casos, eles podem minar suas configurações de segurança para rastrear suas atividades e exibir anúncios onde eles normalmente não teriam acesso. Essas violações de segurança podem então ser exploradas por personagens mais perigosos. Quando isso acontece, o software é normalmente conhecido como malvertising.
No pior dos casos, Adwares podem minar suas configurações de segurança para rastrear suas atividades e exibir anúncios onde eles normalmente não teriam acesso. |
15 apps no Google Play que se envolvem nesse tipo de prática
Desenvolvedores têm, há anos, incorporado código de anúncios em apps como uma maneira de ajudar a custear os gastos com desenvolvimento. Mas alguns deles simplesmente usam aplicativos como uma plataforma no limite de tornar-se abusiva apenas para exibir anúncios nos dispositivos mobile.
Recentemente, o SophosLabs descobriu 15 apps no Google Play que se envolvem nesse tipo de prática. Eles geram anúncios frequentes, grandes e intrusivos, e, literalmente, ocultam o ícone do aplicativo para dificultar a localização e a remoção do mesmo. Vários ainda vão além, disfarçando-se na página de configurações do smartphone.
De acordo com informações das páginas do Play Market para esses aplicativos, mais de 1,3 milhão de dispositivos em todo o mundo instalaram pelo menos um deles. Se usarmos histórias anteriores como referência, é provável que haja muitos mais a serem descobertos.
Anúncios frequentes, grandes e intrusivos, e, literalmente, ocultam o ícone do aplicativo para dificultar a localização e a remoção de Adware |
Por exemplo, o app free.calls.messages (Flash On Calls & Messages – também conhecido como Free Calls & Messages – exibido abaixo) envolve alguns truques inteligentes para impedir que os usuários o desinstalem.
Quando é iniciado pela primeira vez, exibe uma mensagem que diz “Este app é incompatível com o seu dispositivo!”. Você pode pensar que ele falhou, porque, depois desse aviso, o app abre a Play Store e te leva para a página do Google Maps, induzindo você a pensar que esse aplicativo universal é a causa do problema. Mas não é. Isso é uma armação.
O aplicativo, então, oculta seu próprio ícone para que não apareça na bandeja de aplicativos. Outros apps desta lista também ocultam seus ícones: alguns fazem isso na primeira vez que são iniciados, enquanto outros simplesmente esperam um pouco depois de você instalá-los.
1. Inicialmente, o ícone do app aparece na bandeja de aplicativos, junto com os demais;
2. Após a instalação, o app aciona um aviso sobre ser “incompatível”;
3. Então, o app abre a página do Google Maps na Play Store;
4. Quando o usuário retorna para a bandeja de aplicativos, o ícone do app com adware desapareceu.
Jogando sujo com truque desonesto
O SophosLabs também observou esses aplicativos fazendo um truque desonesto: usando um nome e um ícone para o aplicativo (visíveis na página de configurações do smartphone) e um nome e um ícone diferentes para a Atividade Principal (a janela do app em execução).
Nove dos 15 aplicativos descobertos usavam ícones e nomes enganosos, sendo que a maioria parecia ter sido escolhida para parecer inofensivo. (O ícone do aplicativo ainda está visível no menu Configurações do telefone, dentro de Apps.)
Ocultando o ícone do iniciador e usando um ícone e um nome que se assemelham aos de um aplicativo do sistema, esses apps são convincentes para um observador casual, que acredita que não há nada incomum instalado no smartphone.
Outros apps usam uma biblioteca, chamada koolib, que instala um serviço para ocultar o ícone em um tempo predeterminado após a instalação do aplicativo. Isso não é kool, aplicativo.
A maioria desses aplicativos é apresentada aos usuários como algum app utilitário. Leitores de QR code, editores de imagens, utilitários para backup, localizador de telefone e, mais ironicamente, um utilitário usado ostensivamente para limpar os dados privados do seu smartphone. Os apps se disfarçavam ainda mais usando um nome inofensivo, como Google Play Store, Atualização, Backup ou Serviço de Fuso Horário. Esses nomes aparecem apenas nas configurações do telefone.
1. O ícone de um app com adware aparece abaixo do ícone legítimo da Play Store
2. Muitos usam nomes e ícones genéricos, como “Atualização”
3. Cuidado, este ícone genérico não é um legítimo app para backup
4. Seu smartphone já tem um serviço incluído para acompanhar fuso-horários: o relógio
Todos esses aplicativos apareceram durante esse ano. O mais antigo deles, free.calls.messages, foi publicado em janeiro. Dois meses depois, já tinha mais de um milhão de instalações. Embora tenham sido disponibilizados ao mercado por diferentes contas, muitos compartilham estrutura de código, interface do usuário, nomes de pacotes e comportamento semelhantes – demais para que isso seja considerado uma coincidência.
Por exemplo, o aplicativo com.cc.image.editor continha dentro de seu código uma referência a um app diferente, o com.bb.image.editor. Os dois aplicativos, apesar dos nomes parecidos, foram publicados por entidades completamente diferentes. Isso nos sugere que o primeiro pode ter sido derivado do último, mas não podemos dizer definitivamente que o mesmo autor desenvolveu os dois.
Usuários não gostaram do adware
A maioria desses aplicativos recebeu avaliações negativas dos usuários, muitos dos quais se queixaram de que os apps não podiam ser executados, de que o ícone desapareceu e, é claro, dos anúncios agressivos.
O uso de adware no Android deu uma guinada sombria com o uso desses truques persistentes. Ao aprimorar técnicas cada vez mais inovadoras para permanecer instalados no smartphone, aplicativos como esses podem infectar rapidamente um grande número de vítimas, mesmo poucas semanas após o lançamento. Os usuários devem prestar muita atenção às avaliações dos usuários antes de instalar apps disponíveis no Google Play (e não serem a primeira pessoa a experimentar um aplicativo totalmente novo).
O SophosLabs notificou o Google sobre esses apps em julho e, até onde sabemos, eles foram removidos. Esses apps são detectados pelo Sophos Mobile Security como Andr/Hiddad-AB e Andr/Hiddad-AC.
E você já baixou algum app com Adware? Deixe seu comentário abaixo.
https://tecflow.com.br/feed
Marciel
Formado em jornalismo, o editor atua há mais de 10 anos cobrindo notícias referente ao mercado B2B. Porém, apesar de toda a Transformação Digital, ainda prefere ouvir música em disco de vinil.