Android Clicker

Os pesquisadores de infosec descobriram aplicativos infectados espalhando malware clicker na Google Play Store. Estima-se que os 16 aplicativos corrompidos encontrados na loja tenham sido baixados aproximadamente 20 milhões de vezes. Os programas fraudulentos carregavam uma nova ameaça móvel rastreada como Android/Clicker. Os pesquisadores que divulgaram um relatório sobre o malware notificaram o Google e, como resultado, todos os aplicativos que carregavam a carga útil foram removidos da Play Store.

Os inúmeros aplicativos ameaçadores foram apresentados aos usuários como produtos de software aparentemente legítimos que forneciam funções genuinamente úteis - lanternas, câmeras, gerenciadores de tarefas, leitores de QR e conversores de unidade/medição. No entanto, uma vez que o aplicativo é baixado e aberto, ele executa uma solicitação HTTP para buscar sua configuração remota. Depois, ele registra um ouvinte do Firebase Cloud Messaging (FCM), permitindo que ele receba mensagens push dos invasores.

Capacidades Ameaçadoras

Quando totalmente estabelecido, o Android/Clicker é capaz de abrir sites arbitrários no plano de fundo do dispositivo violado. A maioria dos usuários nem perceberia que essas atividades ocorrem no dispositivo, pois o malware se ativa apenas quando o dispositivo está ocioso e não está em uso. Ele também esperaria pelo menos uma hora após sua instalação antes de executar as atividades fraudulentas. Dois componentes principais da ameaça foram analisados - uma biblioteca chamada 'com.click.cas' será responsável pelos cliques automatizados, enquanto uma biblioteca diferente chamada 'com.liveposting' se concentra na execução de atividades de adware ocultas.

Em geral, os operadores do Android/Clicker podem obter receita por meio de cliques fraudulentos em sites afiliados. Os dispositivos afetados pela ameaça podem ter desempenho reduzido e vida útil da bateria reduzida. Dependendo do plano de Internet da vítima, o malware também pode causar taxas de dados adicionais nos celulares.