Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


1 a 5 milhões: infecção em massa via 13 apps do Android Market

A ComputerWorld traz a notícia sobre o que pode ter sido a maior ofensiva de malwares contra os usuários do Android Market até o momento: os números mencionados tratam de 1 a 5 milhões de usuários tendo feito o download do Android.Counterclank diretamente do repositório de aplicativos mantido pelo Google, sendo que parte dos 13 apps infectados identificados pela Symantec permaneciam sendo oferecidos aos clientes no fechamento da matéria, na sexta-feira.

Após a instalação no sistema Android do usuário, o malware disponibilizado via Android Market altera a página home do navegador e coleta uma série de informações pessoais do usuário, e em seguida passa a exibir anúncios aos usuários.

Trata-se de uma variação do malware Android.Tonclank, conhecido há mais de meio ano, e alguns dos apps infectados estão no Android Market há mais de um mês. Caso o Google publique números oficiais a respeito (número de apps, de usuários que instalaram, tempo de permanência dos apps, etc.) atualizarei os detalhes neste post.

Como de hábito, os apps em questão solicitam mais privilégios do que seria de esperar para a sua finalidade anunciada e, também como de hábito, um modelo de segurança que dependa de o usuário final ter o discernimento necessário para negar estes privilégios no momento da instalação leva aos resultados que seriam de se esperar. (via computerworld.com – “Massive Android malware op may have infected 5 million users – Computerworld”)


• Publicado por Augusto Campos em 2012-01-30

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    Hay (usuário não registrado) em 30/01/2012 às 10:03 am

    Eu peguei uma mer** dessas de um aplicativo que tinha até reviews positivos. Fiquei com tanto nojo do grande filho da p*** que desinstalei imediatamente o software e espero que o rabo de quem criou a app pegue fogo. Lembro-me que era um app que prometia gravar vídeos do Youtube para o celular. Assim que instalei, já apareceu uma propaganda idiota na barra de notificações. Nem dei tempo para que ele ficasse me enchendo o saco: já desinstalei imediatamente.

    jacinto leite aquino rego (usuário não registrado) em 30/01/2012 às 10:13 am

    E ainda essa m…de android market? quero ver o que vai ser com o microsoft market qdo for lançado!

    Edd (usuário não registrado) em 30/01/2012 às 10:30 am

    Adorei a foto! rsrs
    O Google tem que se emerar mais com relação ao Android Market.
    Se bem que tenho um amigo que tem o iPhone 4 e disse que isso também estã rolando lá. Mas em escala muito menor.

    Carlos (usuário não registrado) em 30/01/2012 às 10:37 am

    Feliz da vida com meu Nokia N8

    Marcos (usuário não registrado) em 30/01/2012 às 10:51 am

    Alguém sabe se desinstalando as apps resolve as propagandas? Ou mesmo desinstalando, o ‘presente’ dos anúncios ficam?

    Spif (usuário não registrado) em 30/01/2012 às 11:23 am

    Nossa, 1 à 5 Milhões? Way to go Google.

    O pessoal ainda não entende que o conceito de appstore inclui você emprestar a sua credibilidade aos aplicativos. Não dá pra ser um superdownloads.com.br e se chamar de appstore.

    O Google deu sua credibilidade ao Malware, quando permitiu que ele existisse na sua appstore.

    Temos amigos brasileiros com esse problema? Acho que vale reclamação no PROCON.

    Spif (usuário não registrado) em 30/01/2012 às 11:24 am

    @Carlos E o N9 então? Só felicidade.

    Eduardo Siemann (usuário não registrado) em 30/01/2012 às 11:44 am

    Cara vocês leram o que o aplicativo faz?

    Ele somente mostra propagandas… se for por causa disso Kazaa, Avast etc que instalam outros programas são “VÍRUS” também!!

    Considerar um aplicativo que instala propagandas, por ser “free” acho que não é infecção, pois em nenhum momento ele robou nada de você.

    Agora vem um monte de mimimi por que aparece propaganda? Sei que a maioria daqui usa linux, assim como eu, porém a maioria dos aplicativos free para Windows que o pessoal instala vem com “propaganda grátis”…

    Para mim a Symantec só se queimou com esse anuncio, pois como você dá uma margem de 4 milhões de erro!!

    Usei o Norton no meu Windows 98 SE, mas depois que vi os free que detectavam + que o Norton passei para o AVG na época…

    Claro que larguei o 98 para usar o Slakware na época, mas o Norton para mim é o pior de todos os antivírus, pois deixa muito lento e detecta quase nada, sou muito mais o kaspersky ou mcafee.

    Li sobre isso também no Diário do Android: http://diariodoandroid.com.br/sistemas-operacionais-moveis/android/symantec-afirma-que-5-milhoes-de-dispositivos-android-estao-infectados-onde-estao/16432/

    Note outra empresa “quebrou as pernas” da Symantec: http://blog.mylookout.com/blog/2012/01/27/lookout%E2%80%99s-take-on-the-%E2%80%98apperhand%E2%80%99-sdk-aka-android-counterclank/

    Spif (usuário não registrado) em 30/01/2012 às 11:46 am

    “(…)um modelo de segurança que dependa de o usuário final ter o discernimento necessário para negar estes privilégios no momento da instalação leva aos resultados que seriam de se esperar.”

    http://is.gd/Aplausos

    Augusto merece os parabéns por apontar mais essa verdade inconveniente.

    Acho bem interessante e positivo que haja discussão como esta que envolve a Symantec e outra empresa que não conheço sobre se são ou não malwares estes aplicativos que fingem ter determinada funcionalidade desejada pelo usuário mas servem como meio de transmissão de anúncios indesejados pelo serviço de notificações do aparelho, coletam e transmitem informações que identificam seus usuários ou os aparelhos dele, solicitam mais permissões do que deveriam precisar e criam acesso a um serviço de buscas controlado pela rede de anunciantes e que permite download de conteúdo indesejado, ou similares.

    Além da discussão sobre se está ou não no conceito de malware, também vejo com interesse o debate se o efeito resultante em termos de cada aparelho ficar sujeito a agir sob coordenação de um agente remoto sem ser por intenção de seu usuário pode ser chamado de botnet ou se neste caso o nome correto seria ad network.

    Pessoalmente, independentemente da categorização, não desejo receber este tipo de aplicativo, e não o recomendo a ninguém – especialmente nos casos em que ele não tem a funcionalidade que apregoa.

    Enquanto não se chega a uma conclusão a respeito, fico feliz que parte destes apps já tenham sido removidos do market e, considerando que havia razão para eles não estarem lá, a cada vez torço para que no futuro o comportamento que no final levou à sua retirada passe a ser verificado antes de cada app ser exposto aos consumidores.

    Hay (usuário não registrado) em 30/01/2012 às 12:00 pm

    Ele somente mostra propagandas… se for por causa disso Kazaa, Avast etc que instalam outros programas são “VÍRUS” também!!

    Considerar um aplicativo que instala propagandas, por ser “free” acho que não é infecção, pois em nenhum momento ele robou nada de você.

    Uma coisa é haver propagandas dentro do próprio app. Outra coisa é começar a usar o sistema de notificações do celular para fazer propagandas. Isso é jogo sujo.

    Porfírio (usuário não registrado) em 30/01/2012 às 12:02 pm

    Eu já imaginava que a notícia ia parar aqui…

    Bom, um pouco de luz sobre o assunto, com uma descrição técnica que a Symantec e a ComputerWorld “esqueceram” de mencionar:

    http://www.mestreandroid.com.br/malware-infectou-5-milhoes-de-usuarios-android/

    Em resumo, alarme falso. Não se trata uma distribuição generalizada de malware. Todas as aplicações informadas usam um framework de monetização que é mal feito, gastador de recursos e invasivo (graças as permissões que os usuários dão pra ele), mas é legítimo e não um malware.

    Em relação ao número de “5 milhões”, não mencionaram também que a medição tem uma margem de erro… De 4 milhões.

    É o problema de apenas replicar uma notícia: o diabo mora nos detalhes.

    A Lookout, empresa de segurança já “calejada” no Android (ao invés da Symantec, a empresa do cara que começou a carreira escrevendo vírus e fornecendo o antivírus depois), prometeu observar o famigerado framework e a empresa que o fornece bem de perto.

    Porfírio (usuário não registrado) em 30/01/2012 às 12:10 pm

    Eu mandei um comentário sobre o engano da Symantec, mas o @Eduardo Siemann já havia falado sobre o assunto.

    Não sei onde meu comment foi parar, mas fica aqui a referência que postei nele: http://www.mestreandroid.com.br/malware-infectou-5-milhoes-de-usuarios-android/

    Só pra resumir: desculpem, críticos do Android: não foi dessa vez.

    mario (usuário não registrado) em 30/01/2012 às 12:12 pm

    Feliz da vida com meu Nokia X3-02
    hauhahauhau

    Spif (usuário não registrado) em 30/01/2012 às 12:15 pm

    Claramente o Eduardo não viu o que o programa faz, corretamente. Segundo a Computer World:

    “Android.Counterclank é um cavalo de tróia que, quando instalado em um Smartphone Android, coleta uma grande variedade de informações, incluindo favoritos e o fabricante do telefone. Ele também modifica a página inicial do navegador.”

    Sem falar nos comentários de uma pessoa que baixou um dos programas:

    “O jogo é bom … mas toda vez que você roda ele, um icone de busca é aleatóriamente criado em uma das suas telas, eu continuo deletando o ícone, mas ele sempre reaparece. Se você clicar no ícone, você entra numa página que se parece com a página de busca do Google.”

    Prática padrão de Malware, não vírus, conforme o fanboy que dirige o site quis desqualificar.

    É interessante perceber que pessoas, que sequer são ligados à área de Segurança da Informação, tentam desaqualificar a Symantec, esquecendo que foi o trabalho investigativo dela que permitiu localizar e conter, em sua totalidade, o stuxnet, conforme noticiado pela Wired (http://www.wired.com/threatlevel/2011/07/how-digital-detectives-deciphered-stuxnet/all/1).

    Spif (usuário não registrado) em 30/01/2012 às 12:37 pm

    Vejamos, a Lookout declara que um Malware é:

    “Malware is defined as software that is designed to engage in malicious behavior on a device. Malware can also be used to steal personal information from a mobile device that could result in identity theft or financial fraud.”

    (http://blog.mylookout.com/blog/2012/01/27/lookout%E2%80%99s-take-on-the-%E2%80%98apperhand%E2%80%99-sdk-aka-android-counterclank/)

    A PC World declara que o Malware que pode ter infectado 5 Milhões de Androids faz:

    “Android.Counterclank is a Trojan horse that when installed on an Android smartphone collects a wide range of information, including copies of the bookmarks and the handset maker. It also modifies the browser’s home page.”

    E a Symantec (http://www.symantec.com/connect/blogs/androidcounterclank-found-official-android-market) diz:

    “Symantec has identified multiple publisher IDs on the Android Market that are being used to push out Android.Counterclank. This is a minor modification of Android.Tonclank, a bot-like threat that can receive commands to carry out certain actions, as well as steal information from the device.

    For each of these malicious applications, the malicious code has been grafted on to the main application in a package called “apperhand”. When the package is executed, a service with the same name may be seen running on a compromised device. Another sign of an infection is the presence of the Search icon above on the home screen.”

    Notem ainda, e isso é importante, que a Lookout se concentra em dizer que o “Apperhand” não é um Malware, mas a própria Symantec não diz que o tal do Apperhand é, se limitando à dizer que o malware foi inserido no pacote chamado “apperhand”, existente no programa.

    Logo, a acusação da Lookout é um falso dilema, muito provavelmente uma forma de ganhar espaço e atenção na mídia.

    Bremm (usuário não registrado) em 30/01/2012 às 12:47 pm

    Deem uma espiada na lista de aplicativos:

    http://www.symantec.com/connect/fr/blogs/androidcounterclank-found-official-android-market

    Engenharia Social é legal. :-P

    Eduardo Siemann (usuário não registrado) em 30/01/2012 às 12:53 pm

    @Hay

    Concordo com você sobre as propagandas, porém isso está ficando comum nas versões “free” de alguns aplicativos. E claro quem nunca foi no PC de uma pessoa que viu um Ask toolbar, etc instalados por causa que não desmarcou na instalação do aplicativo X…
    Ex.: https://market.android.com/details?id=com.gameloft.android.ANMP.GloftUFHM

    @Spif

    Na página da Symantec pelo menos estas informações sobre os favoritos não existe. Por isso não vi :)
    “Another sign of an infection is the presence of the Search icon above on the home screen.”
    http://www.symantec.com/connect/fr/blogs/androidcounterclank-found-official-android-market
    Não estou querendo defender o Android, mas já defendendo, conforme falei acima vários aplicativos que baixei(grandes desenvolveras de jogos) estão fazendo propaganda usando notificação etc.

    Resumo:
    Bom deve ser removido:
    1. pois se rouba mesmo os bookmarks(sei lá para que)
    2. dados do fabricante(só para estatística)
    3. muda o Home do navegador(deveria ser opcional conforme apps instaladas no Windows).

    Ok, finalmente.. se o google conseguir acabar com as “publicidades” que estão surgindo no Android eu fico feliz.

    Hay (usuário não registrado) em 30/01/2012 às 1:40 pm

    @Eduardo Siemann

    Não são só os dados de bookmarks que são enviados para um servidor remoto. O seu IMEI também. Por que diabos alguém iria querer seu IMEI? Pois é, boa pergunta. Só isso já é motivo suficiente para levantar muitas suspeitas a respeito desses apps.

    Spif (usuário não registrado) em 30/01/2012 às 1:41 pm

    Eduardo, não insista no falso dilema. O Anúncio da Symantec refere ao malware original, e trata somente dos novos efeitos.

    Mais uma vez: o problema não e o Apperhand, mas o malware enxertado nele.

    Sei que a sua preocupação é defender o Android, mas varrer pra baixo do tapete não ajuda ninguém.

    Celso (usuário não registrado) em 30/01/2012 às 2:07 pm

    Feliz da vida por não baixar qualquer aplicativo do market.

    henry (usuário não registrado) em 30/01/2012 às 3:10 pm

    Olá, tenho uma duvida. O blackberry possui permissões bem granulares e pulverizadas, e eu consigo dizer explicitamente quais delas quero dar ou negar ao aplicativo. O android possui algo assim, ou é do tipo “tudo-ou-nada”, se não aceitar, nem continua a instalação ?

    Eduardo Siemann (usuário não registrado) em 30/01/2012 às 3:50 pm

    @Hay

    Certo, eu sei que ele pega informações sobre o aplicativo que basta ter permissão no Manifest.xml(READ_PHONE_STATE). Eles devem usar o IMEI para agrupar todos os dados do dispositivo em uma “DataBase” para estatísticas ou sei lá o que. Eu sei é errado. =)
    Também sou contra isso.

    @Spif

    Cara eu entendi que “..commands to carry out certain actions, as well as steal information from the device.”, blz deve ser removido se faz isso mesmo.
    Porém estou citando que estão aparecendo um monte de apps com estas novas alterações que foram citadas pelos sites sobre “publicidade” que o App Infectado faz.
    Daqui a pouco vão acusar a Gameloft de roubar dados e remover todos os jogos.(Vale lembrar que sei pq foi removido devido a execução de comandos remoto)
    Concordo com todos que falam que o Android Market é muito vulnerável, pois você paga 25 dólares e pode enviar “qualquer coisa”.

    Spif (usuário não registrado) em 30/01/2012 às 4:32 pm

    Então Eduardo, o problema é o que foi enxertado e não esquema de anúncios invasivos (se anúncios invasivos fosse acabar com o Android, o Google seria o maior responsável).

    Ninguém está punindo o SDK, mas sim alertando sobre o malware que foi enxertado nele.

    erico (usuário não registrado) em 30/01/2012 às 4:35 pm

    isso está ficando comum nas versões “free” de alguns aplicativos. E claro quem nunca foi no PC de uma pessoa que viu um Ask toolbar, etc instalados por causa que não desmarcou na instalação do aplicativo X

    normalmente se coloca um opt-in/opt-out que marca o desejo do usuário em usar ou mesmo parar de usar a barra, algo que não acontece nos malware, nesse só com a desinstalação.

    Eles devem usar o IMEI para agrupar todos os dados do dispositivo em uma “DataBase” para estatísticas ou sei lá o que. Eu sei é errado. =)
    Também sou contra isso.

    Usa um email que identifica a pessoa, ora pois,até o google , que todos sabem recolhe dados de navegação, usa algum tipo de opt-in/opt-out. só malware não usa.

    @henry, em geral no android também há esse controle, mas essa é uma questão a ser analisada com cuidado, se o programa que eu uso precisa da minha geolocalização, como para manter a bateria eu deixo o gps desligado,a app reconhece isso e pede que eu ative-o, mas mesmo não ativando eu continuo a usar o app.

    para min não há muita diferença ontológica enter malware e virús, são duas coisas que você tem que eliminar antes que eliminem algo de você.

    o pior de tudo é pensar que ao menos indiretamente isso fortalece o modelo “apple” de appstore.

    Não tenho dúvidas de que seja um malware. Infelizmente a tática do Google de deixar qualquer coisa entrar na loja só pra superar a Apple em número de apps na loja é muito ruim pro usuário.

    Mas se eles já permitem que existam outras lojas e se instalem aplicativos de outras fontes, poderiam muito bem ser mais zelosos com as aplicações que entram, pelo menos na questão de segurança.

    zer0c00l (usuário não registrado) em 30/01/2012 às 6:00 pm

    Esse Android tá ganhando a mesma fama do Windows nos anos 90.

    Porfírio (usuário não registrado) em 30/01/2012 às 6:12 pm

    Se propaganda invasiva pode ser considerada malware, precisamos mudar para esse nome a categoria de aplicativos shareware, muito pródiga no sistema das janelas.

    Nesse sistema, entre os aplicativos ditos gratuitos, a alteração de características do sistema (como criação de atalhos e modificação de configurações do navegador) não é a exceção e sim a regra.

    Até onde foi analisado, as características negativas demonstradas são feature do framework apperhand e não se devem a nada inserido nele (http://tablet-report.com/tag/apperhand/). Os colegas que forem desenvolvedores poderão nos dizer mais se quiserem tirar a prova dos nove, simplesmente criando um POC com o framework e testando.

    A má escolha do método de monetização desses aplicativos fez deles apps muito ruins que merecem a negativação e o ostracismo dos usuários (e o Market é repleto de mecanismos para fazer isso). Mas uma vez em que fique provado que os dados não vão para o servidor dos autores, não se justifica o encerramento de suas contas ou processos judiciais (que a Google já anunciou que está preparada para fazer).

    Certamente também não se justifica a “sugestão” da Symantec de fazer data wipe nos aparelhos. Isso é causar dano intelectual aos usuários sem causa provada e deveria ser encarado como um crime.

    Finalmente, para quem não conhece a Lookout (e isso só é possível para quem não tem mais de alguns meses de uso do Android) ela é simplesmente a empresa de segurança mais respeitada no nicho e a líder de mercado nesse ambiente. Também já foi acusada de alarmar o público para ganhar mercado.

    O que eu vejo é uma empresa de segurança que não conseguiu conquistar o mercado móvel gerando alarmes e uma empresa estabelecida no setor contestando-a.

    Vejo também um conjunto de aplicações ruins enchendo a paciência de seus usuários, mas nenhum malware. Existem outras aplicações, relativamente boas e populares, que aborrecem o usuário (serviços que consomem memória ativos o tempo todo, etc) por serem gratuitas.

    Claro, aqueles que já tinham começado a comemorar as notícias da “infecção” e outros que se apressaram em espalhá-la sem consultar propriamente outras fontes, tentarão de todas as formas manter o alarme ligado. Direito de expressão de cada um.

    Spif (usuário não registrado) em 30/01/2012 às 7:32 pm

    Ah, Porfirio. Ficou preso na moderação na primeira página, mas lá vem você agora. Sentia sua falta.

    Então, deixa ver se eu entendi, quer dizer que vc acha que o Android deve ser comparado com o que ocorre no Windows?

    “Até onde foi analisado, as características negativas demonstradas são feature do framework apperhand e não se devem a nada inserido nele”

    Que bom que você está tão informado assim da investigação da Symantec. Eu acho estranho, porém, que eles tenha especificamente declarado que código foi inserido nos arquivos do apperhand no post.

    “A má escolha do método de monetização desses aplicativos fez deles apps muito ruins que merecem a negativação e o ostracismo dos usuários (e o Market é repleto de mecanismos para fazer isso).”

    Interessante é que, quando a PC World tirou as imagens que aparecem em seu artigo, o rate da aplicação com malware era de 3 estrelas (de 5 possíveis). Eu acho que isso é mais uma prova da falha destes mecanismos.

    “Mas uma vez em que fique provado que os dados não vão para o servidor dos autores, não se justifica o encerramento de suas contas ou processos judiciais (que a Google já anunciou que está preparada para fazer).”

    É por isso que não dá pra confiar no Android Market. Eu, e acho que muitos me acompanham nesse pensamento, quero que os desenvolvedores que pensem em colocar um malware nos seus programas sejam coberto de piche e penas, e colocados para correr da Appstore. Não que sejam consolados.

    “(…)para quem não conhece a Lookout (e isso só é possível para quem não tem mais de alguns meses de uso do Android) ela é simplesmente a empresa de segurança mais respeitada no nicho e a líder de mercado nesse ambiente.”

    Pra quem não conhece a Symantec… oras, quem de vocês foi criado em uma caverna e não conhece esta empresa? Ela possuí experts em análise de Malware e trabalha em diversos fronts da área de segurança da informação e teve um papel crucial na análise completa do Stuxnet, uma das primeiras armas de ciberguerra.

    Ao contrário da Lookout, ela foi curta e simples no alerta, sem tentar induzir vocês à um falso dilema (conforme relatei anteriormente).

    “Claro, aqueles que já tinham começado a comemorar as notícias da “infecção” e outros que se apressaram em espalhá-la sem consultar propriamente outras fontes, tentarão de todas as formas manter o alarme ligado.”

    Aqui vemos a marca de um Fanboy. Segue o alinhamento preciso do Google: Quem diz que o Android tem suas brechas de segurança são charlatães e mal intencionados.

    Oras, o que é importante aqui não é a plataforma. Não é a Appstore. Não é o Google. São essas 5 milhões de pessoas que tiveram seus dados roubados para sabe-se lá qual uso. Seria interessante ver o Google e seus fanboys tomando o lado que realmente importa nisso tudo: O lado dos clientes da plataforma Android.

    Kurt (usuário não registrado) em 30/01/2012 às 7:57 pm

    Feliz da vida com meu Windows Phone.

    Kurt (usuário não registrado) em 30/01/2012 às 8:03 pm

    Será que é essa a forma de monetizar a Android Market que Larry Page prometeu após queda das ações da Google?

    Tá apelando Google?

    André Ricardo (usuário não registrado) em 30/01/2012 às 11:33 pm

    Olha, esse Android está cada dia igual aquele sistema que eu aprendi a usar nos anos 90, o Windows. Cheio de vírus.

    André Caldas (usuário não registrado) em 31/01/2012 às 10:59 am

    Acho que o @Spif tá coberto de razão quando diz que o Google “empresta” sua credibilidade quando monta um appstore.

    Rael Gugelmin Cunha (usuário não registrado) em 31/01/2012 às 12:19 pm

    É o preço que a liberdade cobra: vc é o culpado pelos seus atos. Não vejo o porque do “CORRAM PARA AS COLINAS” por causa disso.

    Alguns não gostam disso e preferem alguém que dê as direções obrigatórias do que fazer. Outros dizem “sim papai” na frente e depois fazem o que não deveriam escondido (jailbreak).

Este post é antigo (2012-01-30) e foi arquivado. O envio de novos comentários a este post já expirou.