"Cuidado: mais de 1,7 mil apps com malware Coringa foram detectados na Play Store"

Um malware inicialmente conhecido como Bread — e posteriormente batizado de Coringa, em alusão ao caótico vilão da DC Comics — vem sendo observado de perto pela Google desde 2017. Isso porque ele vem se adaptando aos mecanismos de defesa e se multiplicando em muitas variantes, o que dificulta sua detecção. E agora, segundo a gigante de Mountain View, nada menos do que cerca de 1,7 mil apps com a praga já foram detectados e varridos da Play Store.

O lado positivo dessa notícia é que o Coringa foi barrado antes mesmo que pudesse atuar...na maioria dos casos. Mas, segundo a firma de cibersegurança CSIS Security Group, pelo menos uma série contendo o DNA do software malicioso conseguiu passar pela varredura do programa Google Play Protect, que, segundo a companhia, “verifica mais de 500 bilhões de aplicativos todos os dias, em mais de dois bilhões de dispositivos”.

O CSIS Security Group encontrou 24 utilitários com o Coringa, que geraram um total de mais de 472 mil downloads em setembro de 2019. "O grande volume parece ser a abordagem preferida para os desenvolvedores de Bread. Em momentos diferentes, vimos três ou mais variantes ativas usando abordagens diferentes ou visando diferentes operadoras. [..] Nos horários de pico da atividade, vimos até 23 aplicativos diferentes dessa família submetidos ao Google Play Protect em um dia”, relata a Google.

Como age o Bread/Coringa?

Os malwares para Android foram projetados originalmente para executar fraudes por SMS. Mas, desde então, "abandonaram isso amplamente para cobrança WAP, após a introdução de novas políticas do Google Play que restringem o uso da permissão SEND_SMS e aumentam a cobertura do Google Play Protect", diz o Google. As versões mais recentes mudaram o campo de atuação para outro tipo de fraude de cobrança móvel, chamada “fraude de pedágio”. Com essa nova técnica, os criminosos usam aplicativos mal-intencionados para induzir as vítimas a assinar ou adquirir vários tipos de conteúdo por meio da conta do telefone celular.

"Ambos os métodos de cobrança fornecem a verificação do dispositivo, mas não a verificação do usuário. A operadora pode determinar que a solicitação se origina do dispositivo do usuário, mas não exige nenhuma interação do mesmo, que não possa ser automatizada”, explicam Alec Guertin e Vadim Kotov, da equipe de segurança e privacidade do Android — então, fica a dica para você ficar de olho em utilitários agindo de forma suspeita.

Para explorar a automatização da cobrança ilegal sem a necessidade de interação do usuário, os autores do malware aproveitam os cliques injetados, os analisadores de HTML personalizados e os receptores de SMS. Vale destacar que, em muitos casos, as vítimas do Coringa descobrem que a única funcionalidade que roda direito nesses falsos aplicativos é a de cobrança. Em alguns casos, os softwares eram apenas clones de outros aplicativos populares da Play Store.