Vídeo: How the Play Store put malware on 500,000 Android smartphones (Outubro 2024)
A empresa de segurança móvel Lookout divulgou hoje um relatório na DefCon que revela o incrível tamanho, escopo e complexidade das operações de malware do Android na Rússia. O relatório descobriu que a maior parte desse malware russo não era proveniente de indivíduos solitários em porões, mas de máquinas bem produzidas de malware.
Falando ao SecurityWatch, o pesquisador sênior e engenheiro de resposta Ryan Smith explicou que o interesse da Lookout foi despertado quando notaram que o malware de fraude por SMS da Rússia representava 30% de todo o malware que a empresa estava detectando. Ao longo de seis meses, a empresa descobriu uma indústria caseira que cresceu em torno da produção e distribuição de malware para Android.
The Scam
A Lookout descobriu que 10 organizações são responsáveis por cerca de 60% do malware russo por SMS no mercado. Eles estavam centrados em "Malware HQs", que realmente produzem aplicativos maliciosos. Uma vez baixados, esses aplicativos usam códigos de acesso SMS que faturam vítimas através de sua operadora sem fio. Nos EUA, costumamos vê-los ligados a organizações de caridade como a Cruz Vermelha.
Eis como o golpe funciona: O Malware HQ cria aplicativos maliciosos que podem ser configurados para se parecerem com praticamente qualquer coisa. Eles também registram e mantêm os códigos de acesso nas operadoras sem fio. Os afiliados, ou as pessoas que trabalham em nome do QG do Malware, personalizam o malware e o comercializam através de seus sites e mídias sociais.
As vítimas encontram o site afiliado ou spam nas mídias sociais e baixam os aplicativos maliciosos. Uma vez no dispositivo Android da vítima, o malware envia uma ou mais mensagens SMS premium - geralmente custando à vítima entre US $ 3 e US $ 20.
Como o QG do Malware possui os códigos de acesso, eles recebem o dinheiro da transportadora da vítima. Eles aceitam e dão o restante aos afiliados, que aparentemente são pagos como funcionários normais com base em seu desempenho. Smith diz que a Lookout observou algumas afiliadas ganhando US $ 12.000 por mês por mais de cinco meses, sugerindo que este é um "negócio" lucrativo e estável.
Enorme em escala e complexidade
É uma farsa bastante direta e provavelmente a maneira mais direta de ganhar dinheiro com malware Android. O que torna notável a descoberta do Lookout é o tamanho e a natureza estranhamente corporativa das operações.
O Malware HQ, por exemplo, tornou incrivelmente fácil para os afiliados personalizar o malware. Smith disse que o Malware HQ produziu vários temas para facilitar a personalização de malware pelos afiliados. "Eles podem fazer com que pareça Skype, Google Play, qualquer coisa para atrair um usuário a fazer o download e acreditar que é real", disse Smith.
Smith disse que as organizações de HQ de malware também lançavam atualizações e novos códigos a cada uma a duas semanas "como qualquer outra startup ágil". Muitas dessas atualizações foram projetadas especificamente para iludir empresas de segurança, chegando ao ponto de "criptografar partes do programa que são descriptografadas antes de serem usadas".
Do outro lado da operação, as afiliadas estão altamente engajadas em seu trabalho, mas também inconstantes. Smith disse que existem fóruns e sites nos quais os afiliados comparam a operação de diferentes HQs de malware. Embora a regularidade do pagamento fosse uma grande preocupação, o atendimento ao cliente - basicamente, o suporte técnico afiliado - era fundamental. Se os afiliados não estiverem satisfeitos com um QG de malware específico, eles migrarão para outro.
Os QGs de malware também fazem o possível para tornar seus afiliados bem-sucedidos. Smith diz que os líderes do anel motivariam os afiliados com prêmios em dinheiro por alto desempenho - alguns de até US $ 300.000. Eles até criaram plataformas de publicidade para afiliados, a fim de fornecer melhores informações sobre quais esquemas estavam apresentando melhor desempenho em quais regiões.
O forro de prata
Embora seja aterrorizante ver o crime ser realizado em uma escala tão grande e com todas as armadilhas da normalidade, há boas notícias aqui. Os leitores nos EUA podem ficar tranquilos, pois a maioria desses golpes usa códigos curtos específicos que não funcionam fora da Rússia e dos países vizinhos.
Mais importante, Smith explicou que, ao desvendar toda a extensão desse golpe, eles podem fornecer uma melhor proteção. "Agora somos capazes de vincular sua distribuição", disse Smith. A empresa agora aparentemente pode bloquear mais do que apenas o código - que é frequentemente alterado - mas também triagem de servidores, endereços IP e outros marcadores.
Isso não impedirá os golpistas de imediato. Afinal, se eles são inteligentes o suficiente para modificar seu código, eles são espertos o suficiente para saber que as empresas de segurança os utilizam. No entanto, Smith diz que isso pode ser uma vitória a longo prazo: "Para fazer as mudanças que eles precisam fazer, será caro para eles".
E sabemos que ir atrás da carteira é uma ótima maneira de combater malware.
Clique para ver a imagem completa
