A Sophos encontrou, através dos seus investigadores da SophosLabs, um malware escondido na biblioteca de 25 aplicações, aparentemente, legítimas na loja Google Play. A Sophos informou a Google das aplicações em causa, tendo sido imediatamente removidas.
No entanto, a empresa de segurança estima que mais de 500 mil pessoas já descarregaram as aplicações afectadas antes das mesmas serem retiradas, estando estes dispositivos possivelmente infectados com o malware.
Este malware, identificado pela Sophos como Andr/Guerilla-D, passou pelo sistema de verificação da Google, o Play Protect, disfarçado com uma aplicação. Não é novidade um malware fazer-se passar por uma aplicação legítima, mas este foi mais além ao permanecer inactivo durante várias horas após ser descarregado. Uma vez activo, o malware invade o smartphone com anúncios.
As aplicações que contêm o malware Guerilla funcionam normalmente, – são essencialmente jogos, aplicações de edição de imagem ou de lanterna – mas em simultâneo estão a contactar servidores remotos e a receber instruções para transferirem ficheiros JAR maliciosos.
Este código Java extra gera receitas publicitárias fraudulentas para os criadores da aplicação, ao fazer com que o dispositivo clique em anúncios Google, em segundo plano, sem que os utilizadores se apercebam.
Apesar de por vezes alguns programas maliciosos passarem pelo controlo da Google, os investigadores referem que a loja Google Play continua a ser o lugar mais seguro para transferir as aplicações.
Via Sophos.
