A semana foi intensa para a Play Store. O Google passou algum tempo ocupado com seu botão de exclusão, após ameaças se infiltrarem na loja de aplicativos mais segura do Android. E tudo isso aconteceu depois de um alerta de ataque ao sistema operacional da companhia.
Primeiro, um esquema de fraude de anúncios levou à remoção de 180 aplicativos com 56 milhões de downloads. Depois, um perigoso trojan Anatsa/Teabot foi expulso da loja. Além disso, páginas falsas da Play Store estão enganando usuários para que instalem aplicativos de alto risco.
Agora, outra ameaça foi exposta, e o Google confirmou que todos os aplicativos recentemente identificados como portadores de um spyware perigoso também foram removidos da loja de apps. Esse último alerta veio da empresa de segurança Lookout, que atribuiu o novo malware KoSpy ao grupo norte-coreano APT37 (ScarCruft).
A equipe afirma que o spyware “pode coletar uma grande quantidade de dados, como mensagens SMS, registros de chamadas, localização, arquivos, áudio e capturas de tela“. Trata-se de um esforço coordenado por hackers norte-coreanos, com “evidências de que a infraestrutura está sendo compartilhada com o APT43 (Kimsuky), outro grupo notório patrocinado pelo Estado norte-coreano”. Ambos os grupos têm como alvo usuários em vários países.
O novo malware ataca tanto falantes de inglês quanto de coreano e aparentemente existe pelo menos desde o início de 2022. “O KoSpy tem sido observado usando iscas de aplicativos falsos, como ‘File Manager’, ‘Software Update Utility’ e ‘Kakao Security’, para infectar dispositivos“. O spyware possui uma lista impressionante de funcionalidades:
-
- Coleta de mensagens SMS;
- Coleta de registros de chamadas;
- Rastreamento da localização do dispositivo;
- Acesso a arquivos e pastas no armazenamento local;
- Gravação de áudio e captura de fotos com a câmera;
- Captura de tela ou gravação da tela durante o uso;
- Registro de teclas digitadas por meio da exploração de serviços de acessibilidade;
- Coleta de detalhes sobre redes Wi-Fi;
- Compilação de uma lista de aplicativos instalados
Embora nenhum dos aplicativos identificados permaneça na Play Store, eles ainda podem estar disponíveis em outros locais. “As amostras do KoSpy analisadas pela Lookout se disfarçam como cinco aplicativos diferentes: 휴대폰 관리자 (Phone Manager), File Manager, 스마트 관리자 (Smart Manager), 카카오 보안 (Kakao Security) e Software Update Utility”. Se algum desses aplicativos estiver instalado em seu celular, remova-o imediatamente.
Além do KoSpy, você também deve excluir qualquer um dos aplicativos de fraude de anúncios e os apps infectados com Anatsa que o Google confirmou ter removido da loja. Além disso, certifique-se de que o Google Play Protect esteja ativado o tempo todo no seu dispositivo.
Em resposta ao relatório da Lookout, o Google declarou: “O uso de idioma regional sugere que esse malware foi desenvolvido para ataques direcionados. Antes de qualquer instalação por usuários, a amostra mais recente do malware, descoberta em março de 2024, foi removida da Google Play. O Google Play Protect protege automaticamente os usuários do Android contra versões conhecidas desse malware em dispositivos com os Serviços do Google Play, mesmo quando os aplicativos vêm de fontes externas à Play Store”.
O Google está atualizando o Play Protect para facilitar a desativação temporária das proteções e permitir a instalação de aplicativos de fora da loja oficial. Como esse novo alerta deixa claro, você nunca deve fazer isso, a menos que tenha absoluta certeza da legitimidade do aplicativo e da fonte de onde ele foi baixado.
