Malware "BrainTest" volta ao Google-Play

De acordo com a empresa de segurança LookOut, um malware para dispositivos móveis responsável por infectar dispositivos Android em setembro 2015 via Google Play retornou a este ambiente, apesar dos esforços do Google em bani-lo.

 

Quando descoberto pela primeira vez em setembro pela CheckPoint, o "BrainTest" estava disfarçado sob a forma de um aplicativo de jogo e era suspeito de ter infectado mais de 1 milhão de aparelhos. O jogo apareceu na loja oficial Google duas vezes e foi removido em 24 de agosto e 15 de setembro, respectivamente, após cada instância registrar entre 100.000 e 500.000 instalações.

 

A Lookout notou que o malware voltou para o Google Play em 29 de dezembro, quando foram identificados um total de 13 amostras, todas escritas pelo mesmo desenvolvedor. Todos esses aplicativos foram rapidamente removidos do mercado, mas eles conseguiram reunir altas classificações e centenas de milhares de downloads antes de ser retirado.

 

Aparentemente, desde que inicialmente removido da loja oficial, os autores de malware têm trabalhado para encontrar maneiras diferentes para contornar o processo de triagem da Google Play. Para isso, eles empurraram jogos e aplicativos legítimos para a loja, e também tentam outras técnicas para publicar aplicativos no mercado, evitando detecção. No final de dezembro, um desses jogos (Cake Tower) recebeu uma atualização que permitiu que funcionalidade similar à do "BrainTest" original, além de adicionar um novo servidor de comando e controle (C2). A empresa de segurança foi então capaz de concluir que alguns dos aplicativos comprometidos são jogos totalmente funcionais e que muitos são realmente divertidos de jogar, o que explica a sua alta classificação.

 

No entanto, esses aplicativos também são concebidos para baixar aplicativos maliciosos do Google Play e de avaliá-los positivamente, o que ajuda os autores a aumentar os números de download de seus aplicativos. 

 

Além disso, os aplicativos verificam se o ROOT está presente no dispositivo e, encontrado-o, eles copiam um conjunto de arquivos para a partição principal do sistema para garantir a sua persistência (sem capacidade de remoção remota).

 

Devido ao seu comportamento, o malware BrainTest não pode ser removido de dispositivos comprometidos, mesmo se o usuário tentar uma reposição do sistema "de fábrica". Os arquivos copiados para a partição ROOT permanecem intocados durante o processo e o malware persiste - a menos que os usuários regravem a ROM com uma cópia fornecida pelo fabricante do dispositivo.

Please reload

Destaques
Please reload

Posts Recentes

December 12, 2016