Malware "BrainTest" volta ao Google-Play
De acordo com a empresa de segurança LookOut, um malware para dispositivos móveis responsável por infectar dispositivos Android em setembro 2015 via Google Play retornou a este ambiente, apesar dos esforços do Google em bani-lo.
Quando descoberto pela primeira vez em setembro pela CheckPoint, o "BrainTest" estava disfarçado sob a forma de um aplicativo de jogo e era suspeito de ter infectado mais de 1 milhão de aparelhos. O jogo apareceu na loja oficial Google duas vezes e foi removido em 24 de agosto e 15 de setembro, respectivamente, após cada instância registrar entre 100.000 e 500.000 instalações.
Aparentemente, desde que inicialmente removido da loja oficial, os autores de malware têm trabalhado para encontrar maneiras diferentes para contornar o processo de triagem da Google Play. Para isso, eles empurraram jogos e aplicativos legítimos para a loja, e também tentam outras técnicas para publicar aplicativos no mercado, evitando detecção. No final de dezembro, um desses jogos (Cake Tower) recebeu uma atualização que permitiu que funcionalidade similar à do "BrainTest" original, além de adicionar um novo servidor de comando e controle (C2). A empresa de segurança foi então capaz de concluir que alguns dos aplicativos comprometidos são jogos totalmente funcionais e que muitos são realmente divertidos de jogar, o que explica a sua alta classificação.
No entanto, esses aplicativos também são concebidos para baixar aplicativos maliciosos do Google Play e de avaliá-los positivamente, o que ajuda os autores a aumentar os números de download de seus aplicativos.
Além disso, os aplicativos verificam se o ROOT está presente no dispositivo e, encontrado-o, eles copiam um conjunto de arquivos para a partição principal do sistema para garantir a sua persistência (sem capacidade de remoção remota).
Devido ao seu comportamento, o malware BrainTest não pode ser removido de dispositivos comprometidos, mesmo se o usuário tentar uma reposição do sistema "de fábrica". Os arquivos copiados para a partição ROOT permanecem intocados durante o processo e o malware persiste - a menos que os usuários regravem a ROM com uma cópia fornecida pelo fabricante do dispositivo.
