Malware: Android tornou-se no equivalente ao Windows no mundo dos smartphones

27 ago 2013
Notícias de Vírus

  • As aplicações móveis mais populares são o alvo preferido dos cibercriminosos. Os utilizadores procuram-nas e descarregam-nas directamente, facilitando o trabalho aos hackers, de acordo com o Relatório de Malware da Kaspersky Lab para o segundo trimestre do ano.

  •  Em Junho de 2013, a Kaspersky Lab registava um total de 100.386 variantes de malware móvel no seu sistema, o que representa um aumento dramático em comparação com o registado no final de 2012 (46.445 variantes)

  • O ranking do malware móvel detectado é liderado pelos Trojans Backdoor (32,3%), seguindo-se os Trojans SMS (23,2%)

  • O ransomware, software malicioso que assume o controlo do computador e exige ao utilizador um resgate pela sua libertação, também já chegou ao mundo móvel

De acordo com o relatório de malware do segundo trimestre da Kaspersky Lab, o malware móvel foi a categoria mais detectada durante esse período, tanto em quantidade como em complexidade. Os cibercriminosos não só desenvolvem programas cada vez mais nocivos para plataformas móveis, como também estão a evoluir em termos de capacidade e comportamento dos programas.

 
A 30 de Junho de 2013, a Kaspersky Lab registava no seu sistema um total de 100.386 variantes de malware móvel, o que representa um aumento dramático comparativamente com a situação em finais de 2012 (46.445 variantes detectadas). O malware baseado em Android tem evoluído significativamente face às restantes outras plataformas e tornou-se favorito dos cibercriminosos entre todos os sistemas operativos móveis. Pode-se mesmo considerá-lo o equivalente ao Windows no mundo dos smartphones.

 
É importante ter em conta que as variantes não são detecções individuais ou programas maliciosos originais. São amostras de códigos maliciosos que os cibercriminosos utilizam para infectar as aplicações móveis legítimas. O procedimento comum para os cibercriminosos é descarregar aplicações legítimas e modifica-las com o código malicioso.

Os cibercriminosos redistribuem as aplicações maliciosas modificadas em sites onde possam ser descarregadas pelos utilizadores, como as lojas de aplicações de terceiros. O sistema da Kaspersky Lab identifica as amostras de códigos maliciosos que estão a ser inseridas nas aplicações, utilizando tecnologias baseadas na nuvem, heurísticas e assinaturas antivírus. Através da detecção das amostras de código malicioso, a Kaspersky Lab pode determinar que aplicações são maliciosas antes que sejam executadas no dispositivo do utilizador.

Métodos habituais


No ranking do malware móvel, o primeiro lugar é ocupado pelos Backdoors, com 32,3%, seguindo-se os Trojans SMS, com 27,7%. Os Trojans regulares são os terceiros na classificação (23,2%) e os Trojans Spys ocupam o quarto posto, com 4,9%.
Quanto a capacidades e flexibilidade, a tendência nos programas maliciosos para dispositivos móveis converge com a dos programas maliciosos no mundo dos PCs. As amostras recentes abusam das tecnologias de ocultação para contornar as medidas de segurança, recorrendo a técnicas que tornam a infecção ainda mais persistente, permitindo extrair informação adicional e que se descarreguem e instalem programas maliciosos adicionais.

Ransomware para Android


No passado mês de Junho, o ransomware (programa malicioso que procura extorquir dinheiro aos utilizadores sequestrando o seu dispositivo) chegou ao mundo móvel, ou mais precisamente, uma mistura de falso antivírus e ransomware. A aplicação detectada chama-se “Free Calls Update” e despois de executada tenta obter os privilégios de administrador do dispositivo para modificar a configuração e poder activar/desactivar as conexões Wi-Fi e 3G de acesso à Internet.
O ficheiro de instalação é eliminado após a instalação para neutralizar a solução antivírus legítima, caso houvesse alguma instalada no sistema. A aplicação é um falso antivírus que finge analisar programas maliciosos, alertando o utilizador/vítima para o facto de o dispositivo estar desprotegido e de existir malware instalado. O passo seguinte é levar a vítima a adquirir uma licença para obter a versão completa, tal como sucede muitas vezes nos PCs.
A aplicação mostra uma janela pop-up que alarma o utilizador e avisa-o para a existência de um programa malicioso que está a tentar roubar conteúdo pornográfico do telefone; esta advertência é de tal forma repetitiva que bloquei totalmente o dispositivo. O falso protector impede a desinstalação da aplicação ou a execução de outras quando se apropria dos privilégios de administrador do dispositivo móvel.

Obad: o Trojan Android mais sofisticado de todos os tempos

No segundo trimestre deste ano, a Kaspersky Lab detectou aquele que é provavelmente o Trojan para Android mais sofisticado de todos os tempos. É capaz de mandar SMS para números de valor acrescentado, descarregar outros programas maliciosos e instalá-lo no dispositivo infectado e/ou enviá-lo através de Bluetooth; bem como ainda fazer alterações ao dispositivo de forma remota. Os produtos da Kaspersky Lab identificam este programa malicioso como Backdoor.AndroidOS.Obad.a. O ficheiro está totalmente encriptado e é complicado eliminá-lo.
Os criadores do Backdoor.AndroidOS.Obad.a encontraram um erro no software DEX2JAR, programa utilizado habitualmente pelos analistas para converter ficheiros APK para o formato de ficheiro do Java (JAR). Esta vulnerabilidade descoberta pelos cibercriminosos interrompe a conversão do Dalvik em Java bytecode, complicando a análise estatística ao Trojan.
Além disso, os cibercriminosos encontraram um erro no sistema operativo Android referente ao ficheiro Androidmanifest.xml. Este arquivo existe em todas as aplicações para Android e é utilizado para descrever a estrutura da aplicação, definir os seus parâmetros de execução, etc. O malware modifica o Androidmanifest.xml de tal maneira que passa a não cumprir as normas do Google, mas é correctamente processado num smartphone graças à exploração de uma vulnerabilidade.
Os criadores do Backdoor.AndroidOS.Obad.a também aproveitam outro erro desconhecido no sistema operativo Android. Ao explorar esta vulnerabilidade, as aplicações maliciosas podem fazer uso dos privilégios de administrador dos dispositivos sem aparecer na lista de aplicações. Como resultado, é impossível apagar o programa malicioso a partir do smartphone depois de se obterem os privilégios alargados.

© 1997 - 2014 Kaspersky Lab

Todos os direitos reservados.