Malware em jogos para Android é retirado do repositório oficial após 50.000 downloads
Via tecnologia.ig.com.br:
A Symantec divulgou nesta quarta-feira (11) que encontrou um novo tipo de malware em dois aplicativos de jogos disponíveis no Google Play, a loja de aplicativos para smartphones e tablets com o sistema operacional Android. Os aplicativos infectados são identificados por “Super Mario Bros.” e “GTA 3 Moscow City”, títulos de jogos populares entre os usuários.
Os aplicativos infectados, segundo a Symantec, foram publicados na loja virtual em 24 de junho e, desde então, já foram baixados mais de 50 mil vezes em dispositivos Android.
“O que é mais interessante sobre este trojan é que ele foi desenhado para se manter no Google Play por um longo tempo, registrando números de downloads preocupantes antes de ser descoberto”, diz Irfan Asrar, analista da Symantec, no blog da empresa.
A estratégia para manter o aplicativo malicioso “camuflado” dentro do Google Play, segundo os analistas, é de baixar uma parte do trojan apenas depois que o aplicativo é instalado no aparelho. Este segundo arquivo é baixado a partir de uma pasta que o cibercriminoso cria no serviço de backup em nuvem Dropbox.
De acordo com Arsar, depois que o trojan está instalado no celular, ele passa a enviar mensagens de texto (SMS) para números premium, que cobram um alto valor do usuário na conta do celular. O ataque, segundo a Symantec, está direcionado a usuários da Europa ocidental. Depois de descobrir a ameaça, a empresa notificou o Google, que retirou os aplicativos da loja. (…)
@brlinuxblog
Feed RSS
Engraçado, tenho um Windows Phone e não vi um relato de alguém infectado. Usar sistemas usados por minorias é a verdadeira segurança.
Tenso!!! Poxa será se eles cobravam para baixa o app como a Rockstar?
@CarlosFelipe quem usa sistema de minoria esta livre de um tipo de cibercriminoso, aquele que só utilizar engenharia social, aqueles criminosos que utilizam Remote code Executation escolhe os SO mais brechados como o Microsoft Windows ou Internet Explorer.
Um jogo tem privilégio de enviar SMS e o pessoal da Play não desconfia de nada? Parece que estão com muito trabalho por lá…
É… parece que realmente o custo de um AntiVirus é justificado, para quem usa Android, assim como é para quem usa Windows.
Davi Dalben, concordo!
Dificilmente um jogo teria necessidade de enviar SMS.
“Os aplicativos infectados são identificados por “Super Mario Bros.” e “GTA 3 Moscow City”, títulos de jogos populares entre os usuários.”
Como jogos que não exitem podem ser popular entre os usuários? Não vou dizer que todo mundo sabe, mas, não é conhecimento obscuro que Super Mario Bros só existe de forma oficial nos consoles da Nintendo e GTA 3 Moscow City não exite mesmo.
Falha do Google em deixar passar e falha dos usuários que instalaram em não fazer o mínimo de pesquisa. Na minha opinião, instalar um aplicativo destes é quase como clicar naqueles SPAM de banco pedindo para atualizar o cadastro.
É uma questão de confiança Fred. O usuário desenvolve uma (mal depositada) com o Google.
Se o Google faz controle nazista como a apple, demorando pra liberar, e bloqueando qq minima coisa q nao parece seguir as regras ele é evil.. se ele deixa algo meio light, fazendo uma verificação de malware mais rapida, mas aprovando tudo oq passar esta verificação para priorizar liberdade e velocidade de deploy ele ta errado…
O pior q daqui uns posts vao botar a culpa no coitado usuario, de nao verificar as permissoes para um simples jogo, e ao mesmo tempo tentar convencer ele q o modelo fechado, com mais seguranca, da apple eh pessimo, jogando responsabilidade de segurança de em um aberto para ele.
Vida de usuário eh complicada
@Fred acho que o segundo jogo, remete a série GTA (Grand Theft Auto).
Creio que a Google (estou quase desistindo de usar o “a” antes de Google) realmente deveria ser mais crítica com as permissões que os aplicativos, que estão na Play, reivindicam e quanto aos nomes destes. Não sou desenvolvedor e não sei como é a publicação dos apps, mas deve haver vários pontos de melhoria nisso.
Mas não devemos espinafrar a Google atribuindo-lhe 100% da culpa, afinal o aplicativo malicioso não estava na loja do Android.
É fato que existem apps, a maioria jogos grandes, que têm por hábito baixar complementos diretamente da internet, creio que deva ser coibida essa prática, visto que algum safado pode fazer um app útil sem nada de malicioso, e usar o download para baixar a parte ruim, mas só depois que o app tivesse um grande número de downloads, daí ele poderia ativar a parte que faz a ruindade com o usuário.
Daí não adiantaria nada o usuário ter milhares de antivírus, pois o app não é malicioso, só a partir de um dado dia ou outro evento que o ative.
Xinuo:
“Mas não devemos espinafrar a Google atribuindo-lhe 100% da culpa, afinal o aplicativo malicioso não estava na loja do Android.”
Da Manchete:
“Malware em jogos para Android é retirado do repositório oficial após 50.000 downloads”
Da Notícia:
“A Symantec divulgou nesta quarta-feira (11) que encontrou um novo tipo de malware em dois aplicativos de jogos disponíveis no Google Play, a loja de aplicativos para smartphones e tablets com o sistema operacional Android.”
Logo, a culpa é 100% do Google que, apesar de querer convencer do contrário, não é bom o suficiente nisso.
A cada dia que passa gosto mais do meu iPad.
Falhas acontecem.Com o tempo melhora.
Mas não melhora, pq o Google não revê as posições dele.
É tudo muito vergonhoso.
Que posições?
Sinceramente, trabalhar com o usuário comum é uma banana, como estudante da área faço minhas preces para não ter que trabalhar com o usuário final comum e leigo no futuro, mesmo que de mais dinheiro, acho que a dor de cabeça não compensa quando vejo essas encruzilhadas…
@Spif, leia novamente o que eu escrevi. A parte ruim do aplicativo NÃO estava na loja.
Veja o que eu falei sobre o que alguns apps fazem (legítimos ou não), existe uma parte na loja que está disponível para o usuário e essa parte pode baixar complementos de qq site da internet, diria que é comum acontecer isso com jogos de grande complexidade.
Note o que falei sobre as possibilidades nas mãos dos programadores de malware. O cara pode fazer um aplicativo útil, que não faz nada de errado, daí quando houver um público grande (tipo 50.000) usando o aplicativo, ele pode ativar a parte que faz algo ruim, ou pode baixar o complemento ruim direto da internet.
Seu ódio em atacar a Google, faz vc cego para as argumentações. Não se pode atribuir 100% de culpa para a Google, pq isso implicaria em retirar toda a culpa dos autores dos programas maliciosos.
Sobre antivírus, parece que vc não sabe que só depois que um programa afeta um número considerável de usuários é que vai aparecer para alguma empresa de antivírus, que só então vai fazer a vacina e determinar uma assinatura para o malware. Alguns antivírus para desktop dizem usar um método heurístico para conseguir detectar alguns malwares que ainda não tenham assinatura, só que duvido que haja tanta inteligência assim num antivírus que rode num celular.
Caramba, que situação…
Hum… Malware baixado online, depois do aplicativo instalado no device do usuário. Interessante.
Uma técnica desse tipo vai tapear qualquer sistema de segurança, em qualquer loja (sim, incluindo as lojas do WP e iOS. Talvez ele já esteja lá, enquanto conversamos).
Simplesmente pq o malware não é postado lá. Quando o Buttler analisa o app sendo postado, não encontra malware nenhum. Mesmo que seguisse todas as URL acessadas pelo sistema, bastaria que o malware não estivesse publicado na rede no ocasião em que o aplicativo é submetido.
Finalmente um desafio interessante ao invés de mera engenharia social. Finalmente algo que justifique uma evolução no sistema.
Como resolver isso? Um app cliente (ou parte do sistema) que resida no próprio device do usuário analisa cada arquivo baixado. Se encontrar conteúdo suspeito, bloqueia o arquivo e envia o endereço de rede dele para uma lista negra remota continuamente sincronizada.
O próximo device que tentar baixar o arquivo não vai precisar analisá-lo novamente, porque o endereço já foi condenado.
Em linhas gerais, significa ter uma versão do Buttler no meu aparelho.
A técnica usada pelo ladrão é simples, mas a defesa também é simples. Vou me limitar a jogar conversa fora a respeito aqui ou apenas trollando como uns e outros? Não. Vou mandar a sugestão pra eles ainda hoje. Provavelmente alguém já pensou nisso, mas só pra garantir.
Essa atitude se chama senso de comunidade. Ela é importante em ambientes abertos. Eu, o Andy, os colegas aqui, todos os outros usuários Android e a Google fazemos parte da mesma comunidade.
Só pra contar: os autores do malware, depois de terem as contas banidas, nunca mais voltam ao Google Play, a menos que consigam documentos frios ou um laranja que use seu nome pra registrar uma nova conta.
Hum… Esqueci de mencionar que o problema afeta o Dropbox (e qualquer outro serviço de armazenamento em nuvem também) também.
Como é isso de eu poder dar update e deixar público o código de um malware? Tem antivírus lá não?
Esse furo pode permitir distribuir o malware em qualquer lugar onde os usuários considerem o serviço de armazenamento “confiável”… E-Mails, sites, etc.
@Davi Dalben, jogos enviando SMS não são tão estranhos assim.
Um amigo meu criou um jogo no estilo Zillion, que usa a localização do usuário para dar “tiros” mandados pela rede wifi, por 3G (na ausência de wifi) e por SMS em último caso.
É uma ideia inteligente? Não muito. É uma ideia proibida? Não.
Tem um só problema pra vcs Xinuo e Porfírio: A análise à frio não mostra. Mas e for um processo extenso, como o que o a Apple utiliza, os software são rodados em máquinas virtuais para testar.
O problema é que o “processo” do Google só contempla análise à frio, que mira no código, não no que ele faz.
“um processo extenso, como o que o a Apple utiliza, os software são rodados em máquinas virtuais para testar.”
O referido malware pode enganar o processo e sair rindo, porque ele pode “dormir” por meses antes de resolver baixar o código malicioso.
Ele pode até mesmo testar características só encontradas em aparelhos reais (dados entrando e saindo, mudanças de localização, etc) para saber se está rodando em uma máquina virtual ou não.
O processo que eu sugeri é uma análise “a quente”, dentro de devices reais, com usuários reais.
Concordo com o Porfírio: um sistema antivírus rodando no cliente é mesmo uma boa alternativa (considerando as possibilidades) no caso de plataformas em que venham ocorrendo casos concretos de malware.
@Augusto, obrigado. Mas não estou certo de que vc me entendeu com exatidão. Minha proposta não deve trabalhar como os antivírus funcionam hoje, então não tenho certeza de que o termo se aplica.
Antivírus hoje fazem scan em arquivos que já estão, entram ou saem no sistema de arquivos e memória RAM. Consomem muitos recursos e fazem propositalmente operações redundantes.
Este modelo deve interceptar operações de I/O e identificar suas origens e conteúdo. Se a origem está cadastrada como comprometida, não é necessário testar o conteúdo. Ele funcionaria então de modo mais transparente, consumindo menos processamento.
É um tipo diferente de verificação, que deve ser executada a nível de sistema. Não creio que um app de terceiros possa fazer esse trabalho, isso deve ser implementado no próprio Android.
E, com certeza, não incentivo as companhias ávidas em fornecer aplicativos antivírus (muitas vezes inúteis) para o sistema Android.
Sim, entendi o mecanismo que você aventou para um novo modelo de antivírus. Talvez este tipo de antivírus que hoje ainda não existe mereça mesmo outro nome, inclusive porque estes exemplos de malware não são propriamente vírus.
E concordo plenamente que parece haver demanda urgente por alguma solução eficaz contra malwares, como essa (caso venha a existir), com qualquer nome, que funcione no lado do cliente e esteja presente até mesmo nos aparelhos dos usuários que confiam nos fornecedores de apps mais do que eles demonstram merecer, e nem chegam a saber o quanto estão precisando de algo assim.
E não saberia dizer se os modelos atuais de antivírus (baseados em reconhecimento de padrões ou em bases de dados externas) poderiam ou não ser tornados eficazes também contra ameaças dormentes ou em 2 estágios, como é a do caso em discussão. Me parece que a detecção destes 2 exemplos práticos foi feita por uma empresa que já atua no ramo, e imagino que esteja atenta a isso também.
“usuários que confiam nos fornecedores de apps mais do que eles demonstram merecer”
Por favor, não jogue fora o bebê junto com a água do banho. Existe uma diferença entre “fornecedor de app” e “bandido” (assim como existe diferença entre hacker e bandido, etc etc).
O responsável pelo dano causado ao usuário é o bandido que o lesou. Não a fornecedora do sistema e não os milhares de desenvolvedores da plataforma: eles merecem toda a confiança que tem recebido.
Dessa vez os bandidos descobriram uma brecha real. Esse é o primeiro ataque ao Android de que tenho notícia que não se baseia em mera engenharia social e pode realmente comprometer usuários que sabem o que estão fazendo (sim, em meses de relatórios desse tipo insistentemente levados a público “para o bem dos usuários”, apenas esse). E não tenho dúvidas de que essa brecha será fechada rapidamente.
Essa brecha em questão existe em todos os sistemas móveis de hoje. Se ela já foi explorada ou não é outra história, mas ela está lá. Ela pode ser explorada em qualquer app que tenha permissão de acesso a internet (a maioria), em qualquer sistema.
“e nem chegam a saber o quanto estão precisando de algo assim”
A ideia é que eles não precisem saber, certo? :)
Eles precisam saber (e obedecer) aquilo que eles não devem fazer para não comprometer a própria segurança. Se optarem for fazer, devem saber que estão comprometendo a sua segurança. Ponto. Já o que não for mera engenharia social deve ser deixado para o sistema.
Gritos de pânico e corridas para as colinas, tentando passar a ideia que a plataforma é insegura e eles deveriam migrar para outra, ou que elas precisam usar/comprar o produto X para se protegerem, isso não é útil e nem moralmente aceitável.
Exato, os usuários que não sabem de nada deveriam ser considerados em seu estado natural no modelo de segurança, que para ser eficaz não pode ter como premissa que eles de repente passem a saber mais ou mudem de comportamento, caso contrário os ataques baseados na ação do usuário irão perdurar e continuar tendo sucesso. Uma exceção seria se o modelo de segurança fosse eficaz para gerar no usuário este conhecimento ou esta mudança de comportamento, mas no momento não parece ser o caso (nem de eficácia, nem de intenção). Me parece que o ideal é que os aparelhos entreguem ao usuário segurança suficiente para fazer as operações que são oferecidas a eles no âmbito do ecossistema disponibilizado oficialmente em conjunto com a plataforma, e isso no mínimo.
Mas já que hoje eles estão sujeitos a esse tipo de acontecimento indesejado, e que neste caso prático está demonstrado que a confiança no fornecedor de apps não foi suficiente para manter o malware fora dos aparelhos, e que você sugeriu uma ferramenta de antivírus (com outro nome) que me parece interessante, torço para que ela ou alguma outra solução que rode no cliente e proteja o usuário do que o fornecedor deixa passar surja e seja adotada sem depender da iniciativa do usuário não informado. Me parece até bem natural que isso ocorra, não é demérito pra ninguém: se tem malware agindo, o usuário merece ter proteção à altura como default.
De fato, gritos de pânico, negação, exageros, sugestões de que alguém que concorda com a sua proposta está pedindo que outro alguém mude de plataforma e outras reações emocionais não ajudam ninguém e nem resolvem o problema que ocorreu para estes usuários de Android e outros que estiveram expostos à mesma situação. Assim como não resolverão para os usuários de outras plataformas, caso sejam afetados pela mesma situação em algum momento.