As redes de publicidade móvel podem fornecer uma abertura para servir a malware voltados a dispositivos Android, de acordo com pesquisadores da empresa de segurança Palo Alto Networks, que encontraram novas ameaças Android sendo distribuídas desta maneira.

A maioria dos desenvolvedores mobile incorporam estruturas de publicidade em suas aplicações, a fim de gerar receita. Ao contrário dos anúncios exibidos dentro de navegadores Web, propaganda exibida dentro de aplicativos móveis são servidos por um código que de fato faz parte dessas aplicações.

A incorporação do código para a rede de publicidade em uma aplicação móvel em si garante que anúncios sejam monitorados e que os desenvolvedores são pagos, mas ao mesmo tempo esse código de terceiros representa um backdoor no dispositivo, disse Wade Williamson, analista sênior de segurança da Palo Alto Networks, em um post no blog segunda-feira (12).

“Se a rede de publicidade móvel vira maliciosa, então um aplicativo completamente benigno poderia começar a trazer conteúdo malicioso para o dispositivo”, disse Williamson. “O que você tem nesse momento é uma botnet pronta”.

malware-android

Há precedentes para este tipo de ataque. Em abril, a empresa de segurança móvel Lookout identificou 32 aplicativos hospedados na Google Play que estavam usando uma rede de publicidade maliciosa – mais tarde apelidada de “BadNews”.

Os aplicativos eram benignos, mas a rede foi projetada para enviar malware direcionado a usuários de língua russa or meio desses aplicativos. O vírus se passava por atualizações para outras aplicações populares.

De acordo com Williamson, os pesquisadores da Palo Alto Networks recentemente identificaram um ataque similar na Ásia, que envolvia o uso de uma rede de publicidade fraudulenta para enviar códigos maliciosos por meio de outros aplicativos sem ser detectado por fornecedores de antivírus móveis.

A carga maliciosa implantada pela rede de anúncios é executada de forma silenciosa na memória do dispositivo e espera que os usuários iniciem a instalação de qualquer outro aplicativo, disse Williamson. Nesse ponto, o vírus solicita que o usuário também instale e conceda permissões para ele, aparecendo como se fosse parte do processo de instalação do novo aplicativo.

“Esta é uma abordagem muito elegante que realmente não requer que o usuário final faça qualquer coisa ‘errada'”, disse o pesquisador.

Uma vez instalado, o malware tem a capacidade de interceptar e ocultar mensagens de texto recebidas, bem como enviar SMS a fim de inscrever os usuários de serviços móveis pagos, explicou a Palo Alto Networks, em uma descrição do ataque enviada via e-mail.

Nova tática

Tais ataques são, provavelmente, específicos para determinadas regiões geográficas, disse o analista sênior de e-ameaça da Bitdefender, Bogdan Botezatu, na terça, via e-mail.

O especialista espera que a distribuição de malware por meio de redes de publicidade móvel se torne mais comum, especialmente em países onde os dispositivos móveis não podem acessar a loja official do Google Play, ou onde os usuários têm dificuldades na compra de aplicativos de maneira legítima, fazendo com que a maioria dos dispositivos Android sejam configurado para aceitar APKs (pacotes de aplicativos Android) de fontes desconhecidas.

Isso não significa que os aplicativos que fornecem malware por meio de redes de propaganda não podem fazer isso também pela Google Play, como pode-se verificar com o incidente da BadNews.

A loja online do Google verifica APKs para malware antes de aprová-los, então obter um APK infectado lá pode ser bastante difícil, disse Botezatu. No entanto, um servidor de publicidade malicioso pode permanecer “adormecido” até depois de a aplicação ser aprovada e, então, iniciar a entrega do malware, disse o pesquisador.

Botezatu acredita que os usuários são mais propensos a ser vítima de ataques de “malvertising” lançados por meio de aplicativos móveis do que em browsers. Isso porque tem havido muitos casos de infecções por malware baseadas em anúncio em computadores e os usuários são, portanto, provavelmente mais cuidadosos com onde clicam durante a navegação, disse.

Os usuários do Android devem se certificar de que seus dispositivos não estão configurados para permitir a instalação de aplicativos de fontes desconhecidas e devem executar uma solução antivírus móvel, que pode ser capaz de detectar aplicativos maliciosos entregues via redes de anúncios, disse.