A empresa de segurança Lookout Security alertou que o Brasil está entre os dez países mais afetados por uma família de pragas para Android capaz de se instalar em locais reservados ao sistema. Os vírus utilizam falhas de segurança no Android para copiar seus arquivos para uma pasta especial e garantir a persistência do vírus mesmo após uma restauração das configurações de fábrica.
De acordo com a Lookout, os dez países mais infectados pelo vírus são Estados Unidos, Alemanha, Irã, Rússia, Índia, Jamaica, Sudão, Brasil, México e Indonésia. O código chega aos celulares por meio de aplicativos falsos em lojas de aplicativos de terceiros (fora do Google Play).
A companhia de segurança afirmou que está rastreando três códigos com comportamento semelhante, o que indica que pode haver uma relação entre eles: ShiftyBug ou Kemoge, Shuanet e Shedun. A semelhança de programação entre os três vírus varia de 71 a 82%.
Uma vez que a vítima baixa o aplicativo falso, o programa parece funcionar exatamente como o app original. Os criminosos disfarçam o vírus com apps famosos, como Twitter, Facebook e New York Times. Junto do aplicativo original, porém, o pacote inclui um dos códigos maliciosos. Quando ele finaliza sua instalação, a praga exibe anúncios publicitários indesejados (como na foto).
De acordo com uma análise da empresa de segurança FireEye, um desses vírus, o Kemoge, chega a baixar 8 códigos de ataque diferentes para tentar explorar vulnerabilidades no sistema Android e obter o acesso máximo, chamado de "root", para modificar os aplicativos da "raiz" do Android. Se o celular for vulnerável, o código então escreve seus arquivos na pasta "/system".
Para o especialista em segurança Michael Bentley, da Lookout, a praga é "quase impossível de remover".
As companhias de segurança não deram orientações para usuários infectados. Segundo a Lookout, a maioria dos usuários terá que procurar um técnico especializado ou até adquirir um aparelho novo. O blog Segurança Digial acredita que um "reflash" completo deve ser capaz de eliminar o vírus, porque a pasta "/system" é reformatada nesse procedimento, mas a realização de um reflash pode ser complicada para alguns usuários.
A dica é a prevenção: os aplicativos falsos foram encontrados fora do Google Play. A FireEye disse que encontrou uma versão do código no Google Play, mas essa versão não tinha as funcionalidades mais agressivas do código e não era capaz de explorar vulnerabilidades. Sendo assim, quem baixa apps apenas no Google Play parece estar livre desta ameaça específica.
Manter o sistema do celular atualizado também impede que o vírus consiga o acesso "root", porém, as correções de segurança não são repassadas pelos fabricantes ou operadoras para todos os aparelhos.
Imagem: Anúncio injetado pelo programa malicioso em uma versão falsa do app "Okta". (Foto: Lookout Security/Divulgação)
A companhia de segurança afirmou que está rastreando três códigos com comportamento semelhante, o que indica que pode haver uma relação entre eles: ShiftyBug ou Kemoge, Shuanet e Shedun. A semelhança de programação entre os três vírus varia de 71 a 82%.
Uma vez que a vítima baixa o aplicativo falso, o programa parece funcionar exatamente como o app original. Os criminosos disfarçam o vírus com apps famosos, como Twitter, Facebook e New York Times. Junto do aplicativo original, porém, o pacote inclui um dos códigos maliciosos. Quando ele finaliza sua instalação, a praga exibe anúncios publicitários indesejados (como na foto).
De acordo com uma análise da empresa de segurança FireEye, um desses vírus, o Kemoge, chega a baixar 8 códigos de ataque diferentes para tentar explorar vulnerabilidades no sistema Android e obter o acesso máximo, chamado de "root", para modificar os aplicativos da "raiz" do Android. Se o celular for vulnerável, o código então escreve seus arquivos na pasta "/system".
Para o especialista em segurança Michael Bentley, da Lookout, a praga é "quase impossível de remover".
As companhias de segurança não deram orientações para usuários infectados. Segundo a Lookout, a maioria dos usuários terá que procurar um técnico especializado ou até adquirir um aparelho novo. O blog Segurança Digial acredita que um "reflash" completo deve ser capaz de eliminar o vírus, porque a pasta "/system" é reformatada nesse procedimento, mas a realização de um reflash pode ser complicada para alguns usuários.
A dica é a prevenção: os aplicativos falsos foram encontrados fora do Google Play. A FireEye disse que encontrou uma versão do código no Google Play, mas essa versão não tinha as funcionalidades mais agressivas do código e não era capaz de explorar vulnerabilidades. Sendo assim, quem baixa apps apenas no Google Play parece estar livre desta ameaça específica.
Manter o sistema do celular atualizado também impede que o vírus consiga o acesso "root", porém, as correções de segurança não são repassadas pelos fabricantes ou operadoras para todos os aparelhos.
Imagem: Anúncio injetado pelo programa malicioso em uma versão falsa do app "Okta". (Foto: Lookout Security/Divulgação)
Nenhum comentário:
Postar um comentário
Comente aqui ou informe link quebrado...