Alguns de nós acordamos com o que parecia ser um grande susto de segurança para muitos usuários do Android nesta manhã.
Detectado pela ESET pela primeira vez em novembro de 2018, o malware combina os recursos de um Trojan bancário controlado remotamente com um novo uso indevido dos serviços de acessibilidade Android, para atingir usuários do aplicativo oficial do PayPal.
Essa história foi acompanhada de um vídeo assustador, que demonstrou esse aplicativo não autorizado "assistindo" você fazer login no PayPal e depois copiar seu processo para fazer login. O que torna essa aparência particularmente assustadora é a maneira como ela parece ignorar a autenticação de dois fatores e, em seguida, enviando dinheiro em seu nome. Sem que o usuário soubesse, esse aplicativo estava efetuando login e enviando seu dinheiro. Coisas aterrorizantes, certo? Bem, há um problema. Na verdade, existem vários.
O primeiro, como apontado pela equipe original que relatou este Trojan (ênfase minha):
o malware se disfarça como uma ferramenta de otimização de bateria e é distribuído por lojas de aplicativos de terceiros.
Ok, essa ferramenta de otimização de bateria não autorizada não está disponível no Google Play. Verifica. Agora, quando o aplicativo está instalado, como ele funciona? Este aplicativo realmente funciona em segundo plano com o usuário nem o mais sábio? Bem, não exatamente. Novamente, da equipe original relatando isso (ênfase minha):
essa solicitação é apresentada ao usuário como sendo do serviço "Ativar estatísticas" de som inócuo.
É isso mesmo, você recebe uma solicitação de permissão quando esse aplicativo não autorizado é executado pela primeira vez. E essa permissão de "som inócuo" inclui as palavras Observe suas ações na descrição em grandes e grandes letras em negrito. Não é exatamente um aviso vermelho intermitente, mas, como qualquer permissão, você deve habilitá-lo. Caso contrário, o aplicativo não pode fazer nada.
Portanto, quando esse aplicativo de bateria não autorizado é instalado a partir de uma fonte de terceiros e você cega o acesso ao telefone, sem ler suas permissões, ele permanece oculto em segundo plano, à espera de um ataque? Não. Mais uma vez, da equipe original relatando isso (ênfase minha):
Se o aplicativo oficial do PayPal estiver instalado no dispositivo comprometido, o malware exibirá um alerta de notificação solicitando que o usuário o inicie.
Você recebe uma notificação solicitando que faça login no PayPal a partir de algo que não seja o PayPal, e você acabou de fazer? Mesmo? Não é assim que tudo isso funciona.
Então, para recapitular, este Trojan Android super sério:
- Não estava na Google Play Store, então você precisa fazer o download de uma loja aleatória e permitir que fontes desconhecidas o instale.
- Solicita uma permissão bastante incomum assim que você a abre.
- Imediatamente, você recebe uma notificação solicitando que faça login no PayPal.
Individualmente, esses são sinalizadores de aviso. Juntos, isso é basicamente alguém enviando uma carta pelo correio solicitando que você avise quando você não estiver em casa para que eles possam roubá-lo.
Esta não é uma ameaça real à segurança. Em absoluto. Embora o que é uma ameaça real à segurança seja o PayPal, ainda depende apenas de uma entrega de mensagens de texto para autenticação de dois fatores. É 2018, pessoal. Obtenha um sistema de token real.
