O pessoal da Symantec informou a todos sobre uma nova parte do Android Malware, chamando o Android.Counterclank "de uma ameaça semelhante a um bot que pode receber comandos para executar determinadas ações, além de roubar informações do dispositivo". Eles observam que iniciar um dos aplicativos "infectados" com o pacote SDK apropriado mostra um segundo serviço em execução e geralmente coloca um ícone de pesquisa na tela inicial. Eles verificaram que este é um dos 13 aplicativos no Android Market e o chamam de "a distribuição mais alta de qualquer malware identificado até agora este ano". Alguns relatórios na internet afirmam que isso pode ter afetado 5 milhões de usuários. São 5.000.000 - um número enorme e assustador. E contribui para uma excelente manchete.
Mas parece que a Symantec pode ter pulado um pouco na arma.
Lookout, um concorrente no campo de segurança do Android, diz que os aplicativos não são malware, e o pacote aphandhand é realmente um componente legítimo, mas agressivo. Faz parte de um kit de desenvolvimento de software de publicidade que é uma versão modificada da plataforma "ChoopCheec" ou SDK "Plankton" que foi o foco de algumas preocupações de privacidade em junho de 2011. Esta versão mais recente é mais limpa, mas ainda possui recursos comuns a muitos redes de anúncios. Escreve Lookout:
- É capaz de identificar o usuário exclusivamente por seu número IMEI, por exemplo. Mas, diferentemente de algumas redes, esse SDK faz o hash forward do IMEI antes de enviá-lo ao servidor. Eles estão identificando seu dispositivo, mas estão ofuscando os dados brutos. (Isso é uma coisa boa.)
- O SDK tem a capacidade de entregar anúncios "Push Notification" ao usuário. Não somos grandes fãs de notificações por push, mas também não consideramos publicidade de notificação por push como malware.
- O SDK coloca um ícone de pesquisa na área de trabalho. Mais uma vez, consideramos más formas, embora não consideremos isso uma arma fumegante para malware, desde que o conteúdo entregue seja seguro. Nesse caso, é simplesmente um link para um mecanismo de pesquisa.
- O SDK também tem a capacidade de enviar marcadores para o navegador. Em nossa opinião, isso ultrapassa uma linha; embora não acreditemos que isso seja motivo para classificar o SDK como malware.
Não sabemos exatamente até que ponto é longe demais, mas se os aplicativos estão usando práticas encontradas em "muitas" outras redes de anúncios, concordamos com os pontos de vista listados aqui e precisamos chamar isso de um problema quando se trata de malware. No que diz respeito à privacidade e compartilhamento arbitrário de dados do usuário, não estamos gostando, mas não é um malware.
Não somos especialistas em segurança e nunca afirmamos ser. Podemos separar os aplicativos e ver o que está oculto lá, mas a varredura e a análise detalhadas são deixadas para os especialistas. Dito isto, somos especialistas em pegar besteiras, e este cheira a isso. Ninguém gosta de anúncios, mas não podemos chamá-los de malware a qualquer momento. Eles fazem parte do modelo de aplicativo suportado por anúncios e devemos esperar ver mais do que gostamos. Quando eles se comportarem mal, chame a cabeça de alguém, mas não antes.
Mas isso não é sensacional. Manchetes como a " Operação maciça de malware para Android do Computerworld podem ter infectado 5 milhões de usuários " causam controvérsia, e todo mundo adora uma controvérsia. Explicar que a marca de 5 milhões é a adição da extremidade superior dos contadores de download, que permite uma margem de erro de 4 milhões de dispositivos, é convenientemente esquecido. E gostaríamos de pensar que, se até 1 milhão de dispositivos na extremidade inferior tivessem sido infectados, o Google e a equipe do Android Market teriam dito algo.
O longo e o curto é que estamos dormindo muito bem esta noite. Siga em frente.
Mais: Symantec; Tenha cuidado
