Dois jogos lançados no Google Play podem fazer root em dispositivos Android

Dois jogos lançados no Google Play podem fazer root em dispositivos Android

Os criadores de malware para o Android recentemente têm misturado negócios com brincadeira. Descobrimos dois aplicativos de jogos que foram publicados no Google Play que podem de fazer root em dispositivos Android. Se os aplicativos Brain Test e RetroTetris lembram você de alguma coisa, é melhor verificar seus dispositivos.

O RetroTetris pode ser instalado em versões do Android começando pela versão Gingerbread 2.3 e o Brain Test pode ser instalado em versões começando a partir do Froyo 2.2. O Brain Teste foi removido do Google Play desde 24 de setembro. Entretanto, informamos à equipe de segurança do Google Play sobre o aplicativo RetroTetris e estamos esperando a resposta deles.

RetroTetris

O RetroTetris se apresenta como um aplicativo para jogar o popular antigo jogo de quebra-cabeças Tetris. Estimamos que ele tenha afetado de 500 a 100 dispositivos Android, principalmente na China.

Figura 1. Aplicativo malicioso RetroTetris publicado no Google Play

Ele foi publicado pela primeira vez no Google Play no dia 21 de agosto. Esse jogo também pode ser encontrado fora da loja oficial de aplicativos. Mais monitoramentos revelaram que ele também foi distribuído nas seguintes outras lojas de aplicativos, entre outras:

  • Appszoom: http://cn.{BLOCKED}om.com/android-game/retrotetris-ppwst.html
  • WanDouJia: http://www.{BLOCKED}jia.com/apps/com.antdao.tetris
  • YingYongBao: http://{BLOCKED}d.myapp.com/myapp/detail.htm?apkName=com.antdao.tetris
  • 360Market: http://{BLOCKED}u.360.cn/detail/index/soft_id/2911263

O aplicativo executa um código malicioso que envia comandos para a função iniciar RootRunScript do RootGenius SDK (kit de desenvolvimento de software). Esse SDK ajuda o aplicativo a baixar exploits da Internet, dependendo da versão do Android e de outros detalhes. Esses exploits permitem que o aplicativo obtenha privilégios de root (super administrador) no dispositivo.

Figura 2. código malicioso para instalar aplicativos maliciosos da Internet

Tabela 1. Rootkits e seus exploits, baixados pelo RetroTetris online

Tabela 1. Rootkits e seus exploits, baixados pelo RetroTetris online

Maiores investigações nos levaram ao site relacionado ao RetroTetris, shuame[dot]com, que apresenta duas ferramentas para fazer root nos dispositivos Android. Descobriu-se que um desses códigos de ferramenta era similar ao código do aplicativo, nos levando a acreditar que há uma relação entre o grupo de indivíduos que administram o site e o criador do malware Tetris.

Figura 3. Código da ferramenta com várias similaridades com o código do malware.

Brain Test

O Brain Test se apresenta como um jogo que testa as habilidades mentais de uma pessoa, inclusive checando seu “cérebro esquerdo” versus seu “cérebro direito” realizando atividades mentais em um minuto. Parece desafiador? Esse foi o “anzol” que os criadores do aplicativo usaram quando publicaram o jogo no Google Play no dia 8 de agosto com o nome de “com.mile.brain”, que foi mais tarde atualizado para uma versão packed usando o packer Qihoo Android.

O Google removeu a primeira versão da loja de aplicativos no dia 25 de agosto, mas os criadores novamente publicaram uma versão no dia 10 de setembro com o nome do pacote de “com.zmhitlte.brain”, dessa vez usando o packer de proteção do Baidu .O Google a identificou novamente, removendo-a depois de seis dias, em 16 de setembro. Porém, os criadores tentaram novamente, mudando o nome do aplicativo para “Brain Test HD” e o nome do pacote para “com.fjsc.brainhd.”. Essa versão também foi removida do Google Play no dia 24 de setembro.

Depois de entrar no dispositivo, ele pode baixar e instalar outros aplicativos maliciosos e fazer root no dispositivo, permitindo a execução de qualquer código malicioso. A conta das infecções passou de 10.000, de 11 a 25 de setembro. As infecções se concentraram principalmente na Índia, nas Filipinas, Indonésia, Rússia e Taiwan. Acreditamos que apesar do malware ter sido removido do Google Play ainda está dentro dos dispositivos das vítimas.

Figure 4. Ícone do aplicativo Brain Test no dispositivo Android

O Brain Test se comunica com o site s[dot]psserviceonline[dot]com para realizar suas atividades maliciosas. Investigando mais, descobrimos que 385 outros malware que não são encontrados no Google Play também se comunicam com a URL, inclusive as listadas abaixo:

  • com.{BLOCKED}e.mp3.music
  • com.as.{BLOCKED}b.downloader
  • com.gl.{BLOCKED}e.wallpaper
  • com.{BLOCKED}ot.master
  • com.sex.{BLOCKED}on.superman
  • com.sex.{BLOCKED}on.xman
  • com.{BLOCKED}d.save.battery
  • com.{BLOCKED}c.sms

Soluções e Detecções

Os clientes Trend Micro estão protegidos contra essas ameaças. Os usuários de dispositivos Android devem tomar cuidado ao baixar aplicativos de várias fontes, inclusive do Google Play e de outras lojas de aplicativos. Soluções de segurança móvel como o Trend Micro Mobile Security (TMMS) bloqueiam rotinas do rootkit, como as exibidas pelos aplicativos RetroTetris e Brain Test, com o uso de um serviço de reputação de aplicativo móvel confiável. Ele identifica as rotinas que coletam e podem roubar informações privadas, bloqueando-as imediatamente, em tempo real.

RetroTetris

  • ae041578acbf41d1ed0ef5393296a28cea24663a
  • 6f3192b73d03bb0c1fcdfeffafc7826da12fde5a

Detecções relacionadas ao shuame[dot]com

  • AndroidOS_ShuaMe.A,
  • AndroidOS_ShuaMe.HRX
  • AndroidOS_ShuaMe.HRXA
  • AndroidOS_ShuaMe.HRXB
  • AndroidOS_ShuaMe.HRXC
  • AndroidOS_ShuaMe.OPS
  • AndroidOS_ShuaMe.OPSA
  • AndroidOS_ShuaMe.OPSB
  • AndroidOS_ShuaMe.OPSC
  • AndroidOS_ShuaMe.OPSD
  • AndroidOS_ShuaMe.OPSE

Brain Test

  • bfef4bcc1ee7759a7ccbbcabd9d7eb934a193216
  • daf0b9a8ad003e2a10a6216b7f5827114a108188
  • AndroidOS_IDownloader.A
  • AndroidOS_FakeInst.A
Category: Ataques e Ameaças
Tags:
Trend Micro

Categorias

Veja outras publicações

Menu