Aplicativo utilizou permissão destinada a programas para pessoas com necessidades especiais. Defensor Digital, um dos dois aplicativos suspeitos que chegaram à Play Store.
Reprodução
Uma praga digital de origem aparentemente brasileira conseguiu chegar à Play Store do Google, a loja oficial de conteúdo e software para smartphones com Android. Criado para roubar senhas bancárias, o aplicativo “DEFENSOR ID” foi identificado pelo especialista em segurança Lukas Stefanko, da fabricante de antivírus Eset.
O “DEFENSOR ID” prometia “mais segurança ao utilizar aplicativos”, com “criptografia para usuários de ponta a ponta”. O app, no entanto, não possuía nenhum desses recursos.
Em vez disso, ele requisitava as permissões de acessibilidade do Android. Caso a vítima concedesse essa permissão, o “DEFENSOR ID” passava a ter acesso a tudo que era digitado ou visualizado na tela.
De acordo com Stefanko, informações como SMS, e-mails e senhas – inclusive as geradas por aplicativos de autenticação de dois fatores – eram encaminhadas a um servidor de controle mantido pelos criadores do código. Isso permitia ao programa espião derrotar a maioria das medidas de autenticação em duas etapas.
As permissões de acessibilidade são voltadas para apps que facilitam o uso do smartphone por quem possui dificuldades de visão ou audição. Por esse motivo, elas são utilizadas por apps leitores de tela, que convertem texto em áudio. Isso exige acesso total a tudo o que é visualizado.
Não é incomum que programas maliciosos se aproveitem dessa permissão, já que ela dá acesso a informações que, por regra, ficam fora do alcance dos aplicativos.
Embora tenha chegado à loja do Google, o app conseguiu acumular apenas 10 instalações antes de ser removido da Play Store. Mas outra versão do aplicativo, chamada de “Defensor Digital”, alcançou 100 downloads na Play Store, conforme apuração do blog. Essa versão não foi analisada pelo especialista da Eset, pois já havia sido removida da loja quando o “DEFENSOR ID” foi encontrado.
Segundo Stefanko, o “DEFENSOR ID” conseguiu evitar a atenção dos programas de segurança reduzindo sua atividade maliciosa ao mínimo necessário. Pragas digitais normalmente combinam várias ações suspeitas, mas o “DEFENSOR ID” se manteve operante apenas com as permissões de acessibilidade. Além de burlar os filtros da Play Store, nenhum dos mais de 60 antivírus no site “Virus Total” identificou o programa como suspeito.
“DEFENSOR ID”, cadastro na Play Store. Aplicativo oferecia ‘mais proteção ao utilizar seus aplicativos’.
Reprodução/Eset
Controle remoto do smartphone
De acordo com Stefanko, o “DEFENSOR ID” era capaz de controlar o aparelho de celular, iniciando aplicativos e falsificando toques em áreas específicas da tela. É possível que os criminosos tivessem a intenção de roubar as contas bancárias das vítimas simulando um acesso a partir dos próprios aparelhos contaminados.
No início de 2019, a Diebold Nixdorf detectou um ladrão de senhas bancárias brasileiro com esse mesmo comportamento. Na época, o app também conseguiu chegar à Play Store.
Porém, ao contrário do programa identificado no ano passado, o “DEFENSOR ID” não é capaz de assumir o controle do smartphone se a tela for bloqueada. Por conta dessa limitação, ele muda a configuração do desligamento de tela do smartphone para “10 minutos”. Com isso, o smartphone só será bloqueado se o botão de bloqueio for pressionado ou após dez minutos de inatividade.
Se o smartphone não for bloqueado de forma deliberada, os hackers têm esse intervalo de dez minutos para acessar o aparelho remotamente.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
Comentar