Judy Malware
Os pesquisadores de malware relataram uma campanha de malware distribuída por aplicativos corrompidos no Google Play. Esse malware, conhecido como Judy Malware, é uma ameaça de malware que gera receita com publicidade online. O Judy Malware foi criado por desenvolvedores de malware coreanos e parecia ter afetado pelo menos 41 aplicativos diferentes na loja do Google Play. Esses aplicativos foram baixados uma quantidade enorme de vezes, pelo menos 18 milhões de vezes! Alguns dos aplicativos afetados pelo Judy Malware estavam disponíveis no Google Play há anos, embora todos tenham recebido atualizações recentes. Por esse motivo, ainda é incerto quanto tempo esses aplicativos foram infectados com o Judy Malware enquanto disponíveis para download. Os pesquisadores de segurança de PC solicitam aos usuários de computador que confirmem se todos os aplicativos associados aos ataques do Judy Malware foram removidos de seus dispositivos.
Índice
O Judy Malware está Ativo há Alguns Anos
A campanha Judy Malware pode ser, de fato, mais de uma campanha, e é possível que diferentes versões do Judy Malware tenham sido desenvolvidas com código emprestado de um desenvolvedor de malware para outro. O aplicativo mais antigo associado ao Judy Malware em uma campanha subsidiária foi atualizado em abril de 2016, o que significa que o código Judy Malware estava disponível no Google Play por pelo menos esse período. O Judy Malware funciona conectando-se a um servidor de Comando e Controle uma vez instalado no computador da vítima e realiza atividades prejudiciais no computador da vítima. Depois que os pesquisadores de segurança do PC notificaram o Google sobre os aplicativos afetados e a existência da ameaça Judy Malware, parece que todos os aplicativos associados ao Judy Malware foram removidos do Google Play.
Como o Judy Malware Funciona
Um aspecto marcante da campanha Judy Malware foi como os criminosos conseguiram contornar as medidas de segurança no Google Play, fazendo isso por meio de um aplicativo bridgehead que se conecta ao dispositivo da vítima. Quando o aplicativo é baixado, ele se conecta ao servidor de Comando e Controle automaticamente. Em seguida, usando essa conexão, o aplicativo baixa o código corrompido na forma de JavaScript e URLs comprometidos, que instalam o Judy Malware no computador da vítima por meio de uma série de sites ocultos lançados no navegador da Web do dispositivo infectado. O objetivo desses scripts corrompidos associados ao Judy Malware é clicar em banners e anúncios do Google repetidamente, gerando receita com publicidade às custas da vítima. Os desenvolvedores de malware monetizam a campanha Judy Malware recebendo pagamentos de produtos e sites que lucram com os anúncios 'clicados' por dispositivos infectados com o Judy Malware. Considerando que dezenas de milhões de usuários do Android podem ter sido afetados pelo Judy Malware, os lucros potenciais para esses ataques são enormes.
Quem Criou a Ameaça Judy Malware
Uma empresa na Coréia chamada Kiniwini desenvolveu todos os aplicativos infectados com o Judy Malware. Esta empresa está registrada no Google Play como ENISTUDIO corp e desenvolve aplicativos móveis para iOS e Android. É surpreendente observar que um desenvolvedor de aplicativos legítimo está por trás dos ataques de Judy Malware, que geralmente seriam criados por criminosos e organizações obscuras. O Judy Malware não é uma área cinzenta de anúncios on-line, o que geralmente acontece, mas usa os dispositivos das vítimas de maneira ilícita para o benefício dos atacantes. O Judy Malware está firmemente no campo do malware, e não na fronteira entre conteúdo potencialmente inseguro ou suspeito. Essas atividades não passaram despercebidas e vários usuários suspeitos deixaram comentários e classificações baixas nos anúncios. No entanto, toda a maioria dos aplicativos associados aos ataques da Judy Malware tinha classificações positivas, o que significa que eles tiveram êxito na realização das atividades da Judy Malware em segundo plano sem o conhecimento da vítima.
