Analisando o Xavier Malware – infecção de apps Android
No ultimo
mês, pesquisadores vêm pedindo aos usuários do sistema operação Android que não
façam downloads de aplicativos de lojas de terceiros porque muitos deles contêm
malware. Agora, as coisas mudaram à medida que cibercriminosos estão ignorando
a implementação de segurança do Google na Play Store e enviando aplicativos
infectados com malware.
Os pesquisadores
de segurança de TI da TrendMicro descobriram que mais de 800 aplicativos
Android na Google Play Store contêm um malware chamado “Xavier” que roubam
silenciosamente dados pessoais e financeiros dos usuários. Os aplicativos
infectados pertencem a categorias como manipuladores de fotos, utilitários,
antivírus, aceleradores de velocidade, conversor de vídeo, gravador de chamadas
entre vários baixados milhões de vezes por usuários de todo o mundo.
O maior
número de tentativas de download veio de países do Sudeste Asiático, como
Vietnã, Filipinas e Indonésia, com menos downloads dos Estados Unidos e da
Europa.
História e infecção de Xavier
Xavier não é
um malware novo, na verdade, ele pertence à família AdDown que foi descoberta
há dois anos com capacidades de execução remota de código. Sua primeira versão
apareceu em 2015, enquanto o próprio Xavier foi detectado em setembro de 2016.
Além de
evitar a detecção, a Xavier vem com recursos, incluindo a coleta e vazamento de
dados do usuário, além da instalação de outros APKs no caso de o dispositivo
infectado estar com acesso root. O malware Xavier faz isso tudo por não ser
possível ser detectado facilmente.
Evolução do Malware Xavier (crédito
pela imagem: Trend Micro)
Análise Técnica do malware Xavier
A variante
conhecida como Xavier surgiu em algum momento em setembro de 2016 com um código
mais simplificado. A primeira versão do Xavier removeu a instalação do APK e a
verificação de raiz, mas adicionou criptografia de dados com o algoritmo TEA.
Algoritmo (crédito pela imagem: Trend
Micro)
Logo depois,
adicionou um mecanismo para escapar da detecção dinâmica como mencionado
anteriormente.
Xavier tem a
seguinte estrutura:
Estrutura do Malware Xavier (crédito
pela imagem: Trend Micro)
O que os
usuários do Android devem fazer?
Enquanto a Google
está removendo os aplicativos infectados, isso não significa que o malware
desaparecerá completamente da Play Store ou que não irá voltar. O Xavier é malware
desenvolvido para assumir o controle do dispositivo e dos dados dos usuários,
portanto, os usuários são aconselhados a não baixar aplicativos
desnecessariamente.
Os usuários
do Android também são aconselhados a usar softwares de segurança realmente
aprovado e sempre verificar seus dispositivos. Outra coisa notável sobre o
Android é que é um dos sistemas operacionais de smartphones mais utilizados do
mundo.
Outro fato
interessante é que pesquisadores descobriram uma cópia do WannaCry, o (WannaLocker)
da criado para dispositivos Android, enquanto o malware Judy infectou
aplicativos que foram baixados 36 milhões de vezes.
Além disso,
recentemente pesquisadores descobriram o malware do Dvmap com capacidade de
injetar código em aplicativos para Android.
Lembre-se, a maneira
mais fácil de evitar um malware como Xavier é não baixar e instalar aplicativos
de fontes desconhecidas, mesmo que provenham de lojas de aplicativos legítimos,
como o Google Play.
Além disso, leia
os comentários de outros usuários que baixaram o aplicativo. Mantenha-se
atualizado e corrija possíveis problemas do seu celular para manter o malware
que almeja vulnerabilidades longe do seu dispositivo.
Referencias:
Referencias:
This is really interesting information for me. Thanks for sharing!
ResponderExcluirQuite interesting
ResponderExcluir