Chartreuse Blur

Embora tenham havido vários aplicativos fraudulentos conseguindo se infiltrar na loja do Google Play e, portanto, nos dispositivos de inúmeros usuários desavisados, não é comum que um grupo de hackers consiga se infiltrar na loja com cerca de 30 desses aplicativos. Os pesquisadores de segurança da equipe de inteligência de ameaças do Satori da White Ops conseguiram descobrir exatamente isso - um pacote de 29 aplicativos ameaçadores que conseguiram fazer 3,5 milhões de downloads. Toda a operação foi apelidada de Chartreuse Blur pelos pesquisadores.

Os aplicativos afirmam oferecer algum tipo de ferramenta de edição de fotos. Por exemplo, um denominado Square Photo Blur supostamente ajuda os usuários a desfocar certas partes de fotos ou imagens. Suponha que o usuário decida dar uma chance ao aplicativo. Nesse caso, logo se torna evidente que nenhuma edição de fotos pode ser feita com ele, e o ícone de inicialização do aplicativo instalado desapareceu da tela do telefone misteriosamente. O dispositivo agora infectado será bombardeado com um fluxo de anúncios fora de contexto (OOC). Olhando para o código subjacente de um desses aplicativos, revelou que certos eventos específicos acionaram a geração de anúncios indesejados. Quando os usuários desbloqueiam seus telefones, a menos que seja para uma chamada, eles verão anúncios intersticiais. Quando o aplicativo fraudulento for aberto, eles verão anúncios, quando qualquer outro aplicativo for desinstalado. Sim, você adivinhou - mais anúncios. Estes não são os únicos ativadores para os anúncios pop-up a serem exibidos; na verdade, existem muito mais, como quando os usuários começam a carregar seus telefones, desbloquear suas telas ou quando os dados do celular mudam para WI-FI e vice-versa. A atividade desses aplicativos não se limita apenas à geração de anúncios. Eles também são capazes de abrir um navegador OOC em intervalos aparentemente aleatórios enquanto o dispositivo infectado está em uso.

Os Numerosos Aplicativos do Chartreuse Blur Escondem as Suas Cargas sob Camadas de Ofuscação

Os hackers que criaram esse grupo de aplicativos ameaçadores implementaram uma evolução de carga útil em três etapas para ofuscar seu código e evitar a detecção. O empacotador Quihoo é usado no primeiro estágio, bem como código stub inofensivo (código de espaço reservado que simula a funcionalidade do futuro código totalmente desenvolvido). Durante o segundo estágio, mais do código subjacente é revelado, mas novamente nenhuma atividade insegura é executada. Somente durante a terceira etapa o aplicativo revela sua verdadeira face, à medida que outros pacotes chamados com.bbb. * São baixados para o dispositivo. O código responsável pela remoção do ícone do launcher também pode ser observado nesta etapa. Os pesquisadores notaram que o domínio "ruanfan [.] Co" estava codificado nos aplicativos analisados.

O aplicativo Square Photo Blur foi removido da Play Store posteriormente, mas os usuários ainda devem ter cuidado ao baixar aplicativos em seus dispositivos. Se algum sinal de comportamento suspeito aparecer, eles devem acessar o menu Configurações e desinstalar os aplicativos manualmente.