Cibercriminosos usam Darknet para vender aplicações maliciosas no Google Play

Cibercriminosos usam Darknet para vender aplicações maliciosas no Google Play

Numa análise exaustiva às aplicações maliciosas disponíveis no Google Play para venda na Darknet, os analistas da Kaspersky descobriram que aplicações móveis maliciosas e contas de criadores de aplicações estão a ser vendidas por até 20.000 dólares americanos. Utilizando a Kaspersky Digital Footprint Intelligence, os investigadores recolheram exemplos de nove fóruns diferentes na Darknet onde se efetua a compra e venda de bens e serviços relacionados com malware. O relatório lança luz sobre como as ameaças vendidas na Darknet aparecem no Google Play e também revela as ofertas disponíveis, os preços aplicados e as características das comunicações e acordos entre cibercriminosos.

Mesmo sendo as lojas oficiais de aplicações vigorosamente policiadas, nem sempre se conseguem apanhar todas as aplicações maliciosas antes de estas serem disponibilizadas. Todos os anos, uma vasta gama de aplicações maliciosas são apagadas no Google Play, mas muitas vezes apenas depois de as vítimas terem sido infetadas. Os cibercriminosos reúnem-se na Darknet - todo um mundo digital subterrâneo com as suas próprias regras, preços de mercado e até níveis de reputação - para comprar e vender aplicações maliciosas para o Google Play, bem como funções adicionais para atualizar e até publicitar as suas criações.

Tal como nos fóruns legítimos de venda de produtos, existem também várias ofertas na Darknet para diferentes necessidades e clientes com orçamentos distintos. Para publicar uma aplicação maliciosa, os cibercriminosos precisam de uma conta Google Play e de um código de descarregamento malicioso (Google Play Loader). Uma conta de developer pode ser comprada a um custo reduzido, que pode ir aos 60 aos 200 dólares. Já o custo dos loaders maliciosos varia entre os dois e os 20 mil dólares, dependendo da complexidade do malware, da novidade e da prevalência do código malicioso, bem como das funções adicionais.

O exemplo de uma oferta média de uma ameaça para o Google Play

Na maior parte das vezes, o malware que está a ser distribuído pode estar escondido sob os rastreadores de criptomoedas, aplicações financeiras, scanners de códigos QR e até aplicações de relacionamentos. Os cibercriminosos também avaliam quantos downloads a versão legítima dessa aplicação tem, o que pode ajudar a determinar o número de vítimas potenciais infetadas depois de atualizada a app e adicionado o código malicioso. Na maioria das vezes, as sugestões especificam 5.000 downloads ou mais.

O cibercriminoso vende uma ameaça para o Google Play disfarçada de rastreador de criptomoedas

Por uma taxa adicional, os cibercriminosos podem ofuscar o código da aplicação para tornar mais difícil a sua deteção por soluções de cibersegurança. Para aumentar o número de downloads para uma aplicação maliciosa, muitos atacantes também se oferecem para comprar instalações da app - direcionando o tráfego através de anúncios do Google e atraindo mais utilizadores para descarregar a aplicação. As instalações têm um custo diferente para cada país. O preço médio é de 0,50 dólares, mas numa das ofertas descobertas, os anúncios para utilizadores dos EUA e Austrália podem chegar aos 0,80 dólares.

Os autores de fraudes oferecem três tipos de serviço: por uma parte do lucro final, aluguer e compra completa de uma conta ou de uma ameaça. Alguns vendedores realizam mesmo leilões para comprar os seus ativos, uma vez que muitos limitam o número de lotes à venda. Por exemplo, numa oferta que a Kaspersky encontrou, o preço inicial era de 1.500 dólares, subindo a cada 700 dólares até ao valor final, sendo que a compra imediata pelo preço mais elevado foi de 7.000 dólares.

Os vendedores na Darknet podem também oferecer-se ao comprador para publicar a app maliciosa, para que não interajam diretamente com o Google Play, mas ainda possam receber remotamente todos os dados detetados das vítimas. Pode parecer que, nesse caso, o developer pode facilmente enganar o comprador, mas é comum entre os vendedores na Darknet preservar e manter a sua reputação, prometer garantias, ou aceitar o pagamento depois de os termos do acordo terem sido concluídos. Para reduzir os riscos ao fazer acordos, os cibercriminosos recorrem frequentemente aos serviços de intermediários desinteressados, conhecidos como "garantia", que se pode tornar num serviço especial e apoiado por uma plataforma sombra, ou por um terceiro que não esteja interessado nos resultados da transação.

"As aplicações móveis maliciosas continuam a ser uma das maiores ciberameaças dirigidas aos utilizadores, com mais de 1,6 milhões de ataques móveis detetados em 2022. Ao mesmo tempo, a qualidade das soluções de cibersegurança que protegem os utilizadores contra estes ataques está também a aumentar. Na Darknet, encontramos mensagens de cibercriminosos a queixarem-se de como é agora muito mais difícil para carregar as suas apps maliciosas nas lojas oficiais. No entanto, isto também significa que passarão a adotar esquemas de evasão muito mais sofisticados, pelo que os utilizadores devem permanecer alerta e verificar cuidadosamente que aplicações estão a descarregar", sublinha Alisa Kulishenko, perita em segurança da Kaspersky.

Encontre mais exemplos de ameaças no Google Play vendidas na Darknet no relatório completo na Securelist.

Para ficar a salvo de qualquer ameaça móvel, a Kaspersky recomenda:

• Verifique as permissões das apps que utiliza e pense cuidadosamente antes de dar permissões a uma aplicação, especialmente quando se trata de permissões de alto risco, tais como a de utilização dos Serviços de Acessibilidade. Por exemplo, a única permissão que uma app de lanterna precisa é para aceder à luz do dispositivo, que nem sequer envolve acesso à câmara.
• Uma solução de segurança fiável pode ajudá-lo a detetar aplicações e adware maliciosos antes que possam começar a fazer estragos no seu dispositivo.
• Os utilizadores de iPhone têm alguns controlos de privacidade fornecidos pela Apple, e os utilizadores podem bloquear o acesso das apps a fotografias, contactos e funcionalidades GPS se acharem que essas permissões são desnecessárias.
• Atualize o seu sistema operativo e aplicações importantes à medida que as atualizações se tornam disponíveis. Muitos problemas de segurança podem ser resolvidos com a instalação de versões atualizadas de software.