FireEye descobre malware no Android que se escondia como Gloogle Play | |
Equipe de segurança móvel da FireEye interceptou um aplicativo malicioso que usava uma conta do Gmail para roubar informações | |
A FireEye, Inc. (NASDAQ: FEYE) descobriu recentemente um novo malware que roubava mensagens de SMS, certificados e senhas bancárias de usuários do Android. O aplicativo falso se disfarçava como o aplicativo da loja do Gloogle Play e colocava na área de trabalho do celular um novo ícone parecido com o legítimo. O malware, que já foi removido da loja do Google, passava despercebido por 48 dos 51 antivírus testados¹.
Ícone falso que ativava o malware e a tela que solicitava permissões Intrigados com o novo ícone, os usuários clicavam no app iniciando a instalação do malware. Depois de inicializado uma mensagem com erros de digitação solicitava permissões de administrador para o “Gloogl App Stoy”. Terminada a “instalação” um pop-up surgia “Erro do Programa” e depois “Este foi deletado”, mas na verdade o malware começava a se descompactar e criar pastas dentro do dispositivo com códigos programados para roubar as mensagens de SMS, os certificados de assinatura e as senhas bancárias do usuário. O hacker usava um servidor DNS dinâmico com um protocolo SSL do Gmail, fazendo o tráfico de rede gerado pelo malware parecer seguro e enganando a maioria dos antivírus, mas não a Máquina Virtual da FireEye que detectou o comportamento incomum. De 51 antivírus testados, somente três conseguiram detectar o app por causa dos métodos de evasão que o invasor utilizou. Mesmo se detectado pelo usuário, o aplicativo falso não podia ser removido e ficava rodando nos serviços de fundo. O serviço podia ser interrompido, mas voltava à ativa depois da reinicialização do celular. Constadas as evidências do ataque, a FireEye trabalhou em conjunto com a equipe do Google para derrubar a conta de e-mail utilizada pelo hacker. Referência: [1]. https://www.virustotal.com/intelligence/search/ Para mais informações sobre o assunto acesse o relatório completo da FireEye (em inglês): http://www.fireeye.com/blog/technical/2014/06/what-are-you-doing-dsencrypt-malware.html Sobre a FireEye, Inc.
A Plataforma de Prevenção de Ameaças da FireEye (FireEye Threat Prevention Platform) fornece, em tempo real, proteção contra ameaças dinâmicas sem o uso de assinaturas para proteger uma organização em todos os vetores de ameaças primárias e nas diferentes etapas do ciclo de vida de um ataque. O núcleo da plataforma FireEye é um engine de execução virtual, complementado pela inteligência de ameaça dinâmica, para identificar e bloquear ataques cibernéticos em tempo real. A FireEye tem mais de 2.200 clientes em mais de 60 países, incluindo mais de 130 no Fortune 500. |
CUIDADO: aplicativo malicioso usado em conta do Gmail rouba informações
502