aplicativos maliciosos

Aplicativos maliciosos: Super Mario Run rouba informações do cartão de crédito

A Trend Micro identificou mais aplicativos maliciosos para Android utilizando o nome muito popular do jogo para celular Super Mario Run. Já falamos como falsos aplicativos usam a popularidade de certos aplicativos para se espalharos hackers agora lançaram versões destes falsos aplicativos que roubam as informações do cartão de crédito do usuário.

O Super Mario Run é um jogo para celular que a Nintendo lançou primeiro na plataforma iOS, em setembro de 2016, seguida pela versão Android em 23 de março de 2017. Os jogos para celulares são comprovadamente iscas atrativas que os cyber criminosos utilizam para fazer com que os usuários façam o download de aplicativos maliciosos e potencialmente indesejados (PUAs – potentially unwanted apps). Esta não foi a primeira vez que o nome de um jogo popular foi utilizado; também discutimos como a popularidade do jogo Pokémon Go também foi utilizada de maneira similar.

Com base no feedback da Smart Protection NetworkTM, vimos mais de 400 destes aplicativos apenas nos primeiros três meses de 2017. No mesmo período, vimos 34 aplicativos falsos explicitamente nomeados como “Super Mario Run” – é uma tendência notável, uma vez que vimos o primeiro deles somente em dezembro de 2016.

Neste post, discutiremos o comportamento de uma nova variedade de roubo de cartão de crédito conhecida como o “Fobus” (detectado como ANDROIDOS_FOBUS.OPSF).

O Fobus foi distribuído através de lojas de aplicativos de terceiros. Como é comum, ele solicita diversas permissões:

malware

Figura 1. Aplicação falsa solicitando permissões

Durante o processo de instalação, ele também solicita ser ativado como um administrador do dispositivo:

malware

 Figura 2. Aplicativo falso solicitando privilégios de administrador do dispositivo

Após ter sido instalado com sucesso, ele reúne informações sensíveis, tais como o número do celular do usuário, informações de contato, localização, e mensagens de SMS para o dispositivo. Os privilégios de administrador do dispositivo permitem que o aplicativo oculte o próprio ícone caso o usuário tente executar o aplicativo falso, que tem o mesmo ícone do aplicativo do Super Mario Run verdadeiro. Isto também dificulta a desinstalação do aplicativo. Nenhuma versão do jogo está realmente instalada.

O propósito real deste aplicativo é roubar as informações do cartão de crédito. Quando o Google Play é acionado com este aplicativo instalado, uma tela falsa aparece e solicita que o usuário insira as informações do seu cartão de crédito. Mesmo se o usuário tentar clicar na área cinza ao fundo, o pop-up não pode ser fechado; o usuário não tem escolha a não ser acessar o Google Play e fornecer as informações do cartão de crédito.

malware

Figura 3. Pop-up ao abrir o Google Play

O aplicativo ainda verifica se o número de cartão inserido é um número válido. Os primeiros seis dígitos da rede emissora do cartão (isto é, Visa, Mastercard, etc.), e o aplicativo exibe o logo da rede apropriada. Ele também usa o algoritmo Luhn para verificar se o número é válido. Se um número inválido é inserido, ele exibe uma mensagem de erro contendo “número de cartão de crédito inválido”.

malware

Figura 4. Verificação do número do cartão de crédito

Se um número válido de cartão é inserido, o aplicativo então exibe campos adicionais pedindo o nome do titular do cartão, a data de validade do cartão, e o código de segurança – informações que estão localizadas no próprio cartão.

malware

Figura 5. Solicitação de informações adicionais do cartão

Quando o usuário preenche estas informações, serão solicitadas ainda mais informações, desta vez relacionadas ao usuário: data de nascimento, endereço, e número de telefone. Depois de inserir todas as informações, o usuário pode finalmente acessar o Google Play.

malware

Figura 6. Solicitação de informações adicionais sobre o usuário

O aplicativo também permite que um hacker remoto reset o PIN do dispositivo; isto costumava ser feito por comandos emitidos por um servidor command-and-control (C&C). Isto permite que o hacker bloqueie o acesso do próprio usuário do dispositivo. Este servidor C&C também recebe as informações do cartão de crédito roubadas do usuário nas etapas anteriores.

Como os cibercriminosos disseminam ameaças

Diminuição de risco de aplicativos maliciosos

Os cybercriminosos frequentemente se beneficiam de títulos populares e muito esperados para criar seus próprios aplicativos maliciosos. Estes são distribuídos normalmente por lojas de aplicativos de terceiros. Alguns usuários podem utilizar tais lojas de aplicativos para fazer o download de versões “inéditas” dos aplicativos legítimos, ou para obter aplicativos de graça. Em primeiro lugar, estes aplicativos não são legítimos e os riscos para os usuários finais são muito altos. Aconselhamos com veemência que os usuários façam download e instalem aplicativos somente a partir de lojas legítimas, tal como o Google Play ou lojas verificadas de aplicativos de terceiros.

Em outros casos, o hacker pode prover ainda uma loja falsa de aplicativos muito parecida com o Google Play. Alternativamente, uma mensagem supostamente de um amigo enviada pela rede social pode levar a um aplicativo malicioso. Desabilitar a configuração “Permitir a instalação de aplicativos de fontes desconhecidas” impede que aplicativos baixados de forma inadvertida sejam instalados. Na configuração padrão, este comando é inserido como desligado. Somente o desabilite se souber que está instalando um aplicativo de uma loja verificada.

Para realizar ações maliciosas, como a instalação de outros aplicativos no dispositivo do usuário sem solicitação ou consentimento deste, ou ocultar ícones e processos, o aplicativo precisa ter privilégios de administrador. Aplicativos legítimos raramente precisam disso; os usuários deve verificar mais de uma vez sempre que um aplicativos solicitar tais privilégios. Isto é particularmente importante para jogos, que não precisam de privilégios de administrador do dispositivo. Um “jogo” que solicita tais privilégios muito provavelmente é malicioso ou um PUA.

Categorias

Veja outras publicações

Menu