"Como os pais tendem a dar seus dispositivos para seus filhos brincarem, atrair crianças para instalar aplicativos maliciosos é um vetor de ataque proeminente para alcançar dispositivos de adultos", diz Aviran Hazum, gerente de pesquisa móvel da Check Point. "A maioria das crianças não tem o entendimento de avaliar os pedidos".
O adware é uma ameaça móvel de longa data, mas os invasores se tornaram particularmente agressivos quanto a disseminá-lo nos últimos meses. A empresa de detecção de ameaças Malwarebytes descobriu em um estudo anual que o adware "reinava supremo" em 2019 como a ameaça mais comum em dispositivos Android, Macs e Windows. No início deste mês, a empresa de antivírus Avast publicou descobertas de que o adware representava 72% de todo o malware Android entre outubro e dezembro do ano passado. E além do Android, todas as plataformas parecem estar se esforçando para reduzir o risco para os usuários. A Microsoft anunciou no final de fevereiro, por exemplo, que seu navegador Edge começaria a procurar e bloquear especificamente os downloads de adware por padrão.
O adware nos aplicativos contaminados foi projetado especificamente para minar o mecanismo "MotionEvent" do Android. Os desenvolvedores de aplicativos usam isso para reconhecer movimentos como toques e gestos com vários dedos e coletar informações sobre eles, como suas coordenadas na tela no espaço bidimensional e tridimensional. O MotionEvent ajuda os aplicativos a interpretar essas entradas do usuário, respondendo de acordo. O adware, que a Check Point chama de Tekya, estava manipulando essas entradas para simular usuários tocando anúncios.
Os pesquisadores observaram Tekya criando cliques falsos para gerar receita a partir de redes de anúncios, incluindo Facebook, Unity, AppLovin 'e AdMob do Google. O Adware manipula o ecossistema de anúncios para ganhar dinheiro para hackers, fazendo parecer que um exército de usuários visualizou e interagiu com anúncios. Muitos dos 56 aplicativos infectados identificados pela Check Point não eram apenas utilitários de aparência benigna, mas na verdade clones de aplicativos legítimos que confundiam os usuários e aumentavam a chance de que eles baixassem acidentalmente a versão maliciosa - como um jogo Stickman falso e versões do Hexa Puzzle e Jewel Block Puzzle. O grupo também incluiu um leitor de PDF malicioso e um aplicativo com tema de Burning Man.
Tekya esconde sua funcionalidade abusiva em uma camada fundamental de aplicativos. Conhecida como "código nativo", essa parte dos pacotes de software é notoriamente difícil de verificar quanto a componentes maliciosos.
O Google confirmou à WIRED que removeu os aplicativos no início deste mês. A empresa trabalhou diligentemente para conter o influxo de aplicativos mal-intencionados no Google Play - conduzindo quedas coordenadas em larga escala e desenvolvendo ferramentas de detecção expandidas para capturar mais limões durante o processo de verificação da Play Store. A empresa chegou a pedir ajuda externa na guerra contra aplicativos maliciosos.
Porém, com mais de 3 milhões de aplicativos no Google Play e centenas de novos envios por dia, ainda é um desafio para o Google detectar tudo. Contanto que seja relativamente fácil para os fraudadores criar e espalhar aplicativos maliciosos, eles continuarão chegando.
Mais grandes histórias WIRED
