Pesquisadores Descobrem Aplicativos Android para Crianças Infectados pelo Tekya Malware
Pesquisadores descobriram recentemente uma nova família de malware de clickers automáticos, focada na fraude de anúncios para celular. A loja do Google Play tinha 56 aplicativos infectados por essa nova ameaça. Até agora, eles foram baixados quase um milhão de vezes em todo o mundo.
Uma equipe que trabalha na Check Point descobriu o malware. Tekya, como foi chamado, imita as ações de um usuário, clicando em displays e banners de agências de publicidade, como o Unity, Facebook, AdMob, AppLovin 'para beneficiar os atores de ameaças. Quase metade dos aplicativos foram direcionados a crianças, tais como jogos de corrida e quebra-cabeças. O restante dos aplicativos infectados eram tradutores, downloaders, calculadoras e outros aplicativos utilitários, de acordo com os pesquisadores. O Google tomou uma ação e removeu os aplicativos infectados da loja.
A campanha clonou aplicativos populares legítimos, fazendo isso para ganhar audiência. Os aplicativos eram voltados principalmente para crianças, pois o objetivo principal do malware Tekya parece ser um jogo para crianças. Os pesquisadores incluíram uma lista dos aplicativos infectados, que incluía o Cooking Delicious e o quebra-cabeça Let Me Go.
O Google enfrentou muitos malwares no Google Play ao longo dos anos, com o fornecedor fazendo um esforço contínuo para se livrar de aplicativos e malwares ruins da plataforma. As coisas evoluíram a ponto deles começarem a trabalhar em conjunto com empresas de segurança de terminais para interromper o fluxo de aplicativos maliciosos antes de entrarem na sua loja.
O Google Reprime Maus Aplicativos e Malware
Em meados de fevereiro, o Google mostrou que estava tendo sucesso na luta contra o malware, mencionando que eles conseguiram se livrar de 790.000 aplicativos que violam a política do Google para o envio de aplicativos. Isso aconteceu antes de serem publicados, para que os clientes estivessem protegidos contra danos ou exploração.
Uma semana depois, os pesquisadores da Check Point descobriram que oito aplicativos estavam espalhando uma variedade de malware chamada Haken. Os aplicativos eram principalmente jogos infantis e utilitários de câmera, com o malware roubando dados e inscrevendo as vítimas em serviços premium sem o seu consentimento. A descoberta do Tekya mostra que mesmo uma grande empresa como o Google precisa estar ainda mais vigilante do que nunca contra aplicativos maliciosos que se infiltram em seus serviços no Google Play.
Como o Malware Tekya Entrou no Google Play
O Tekya foi avançado o suficiente até para evitar as frequentes detecções anti-malware usadas pelo Check Point e exigiu mais trabalho para encontrar, segundo os pesquisadores. Evita o Google Play Protect ofuscando seu código nativo. Isso é feito através do recurso de um recurso Android chamado MotionEvent, imitando as ações de um usuário e gerando sua receita com o clique em anúncios.
Depois que o aplicativo infectado é instalado em um dispositivo, ele se registra como "us.pyumo.TekyaReceiver", executando várias ações a partir desse ponto. As ações começam com "BOOT_COMPLETED", permitindo que o código seja executado sempre que o dispositivo inicializar. "USER_PRESENT" controla a atividade do usuário e se alguém está usando o dispositivo. "QUICKBOOT_POWERON" permite que o código seja executado mesmo após a reinicialização do dispositivo. Essas ações permitem o carregamento da biblioteca nativa libtekya.so na pasta de bibliotecas do arquivo .apk.
Mesmo durante a investigação de Check Point, o Google Play Protect não percebeu a presença do malware Tekya; o que os pesquisadores observaram, mostrou que o Google Play ainda pode hospedar aplicativos maliciosos.