Analisando o Xavier Malware – infecção de apps Android

15:44 Leandro Narezi Tonello 0 Comentarios




No ultimo mês, pesquisadores vêm pedindo aos usuários do sistema operação Android que não façam downloads de aplicativos de lojas de terceiros porque muitos deles contêm malware. Agora, as coisas mudaram à medida que cibercriminosos estão ignorando a implementação de segurança do Google na Play Store e enviando aplicativos infectados com malware.

Os pesquisadores de segurança de TI da TrendMicro descobriram que mais de 800 aplicativos Android na Google Play Store contêm um malware chamado “Xavier” que roubam silenciosamente dados pessoais e financeiros dos usuários. Os aplicativos infectados pertencem a categorias como manipuladores de fotos, utilitários, antivírus, aceleradores de velocidade, conversor de vídeo, gravador de chamadas entre vários baixados milhões de vezes por usuários de todo o mundo.

O maior número de tentativas de download veio de países do Sudeste Asiático, como Vietnã, Filipinas e Indonésia, com menos downloads dos Estados Unidos e da Europa.


História e infecção de Xavier

Xavier não é um malware novo, na verdade, ele pertence à família AdDown que foi descoberta há dois anos com capacidades de execução remota de código. Sua primeira versão apareceu em 2015, enquanto o próprio Xavier foi detectado em setembro de 2016.
Além de evitar a detecção, a Xavier vem com recursos, incluindo a coleta e vazamento de dados do usuário, além da instalação de outros APKs no caso de o dispositivo infectado estar com acesso root. O malware Xavier faz isso tudo por não ser possível ser detectado facilmente.

Evolução do Malware Xavier (crédito pela imagem: Trend Micro)

Análise Técnica do malware Xavier

A variante conhecida como Xavier surgiu em algum momento em setembro de 2016 com um código mais simplificado. A primeira versão do Xavier removeu a instalação do APK e a verificação de raiz, mas adicionou criptografia de dados com o algoritmo TEA.


Algoritmo (crédito pela imagem: Trend Micro)

Logo depois, adicionou um mecanismo para escapar da detecção dinâmica como mencionado anteriormente.
Xavier tem a seguinte estrutura:

Estrutura do Malware Xavier (crédito pela imagem: Trend Micro)

O que os usuários do Android devem fazer?

Enquanto a Google está removendo os aplicativos infectados, isso não significa que o malware desaparecerá completamente da Play Store ou que não irá voltar. O Xavier é malware desenvolvido para assumir o controle do dispositivo e dos dados dos usuários, portanto, os usuários são aconselhados a não baixar aplicativos desnecessariamente.

Os usuários do Android também são aconselhados a usar softwares de segurança realmente aprovado e sempre verificar seus dispositivos. Outra coisa notável sobre o Android é que é um dos sistemas operacionais de smartphones mais utilizados do mundo.
Outro fato interessante é que pesquisadores descobriram uma cópia do WannaCry, o (WannaLocker) da criado para dispositivos Android, enquanto o malware Judy infectou aplicativos que foram baixados 36 milhões de vezes.

Além disso, recentemente pesquisadores descobriram o malware do Dvmap com capacidade de injetar código em aplicativos para Android.

Lembre-se, a maneira mais fácil de evitar um malware como Xavier é não baixar e instalar aplicativos de fontes desconhecidas, mesmo que provenham de lojas de aplicativos legítimos, como o Google Play.

Além disso, leia os comentários de outros usuários que baixaram o aplicativo. Mantenha-se atualizado e corrija possíveis problemas do seu celular para manter o malware que almeja vulnerabilidades longe do seu dispositivo.

Referencias:


0 comentários: