O especialista em segurança Lukas Stefanko, da fabricante de antivírus Eset, descobriu que um programa de gravação de chamadas para celulares Android, cadastrado no Google Play, tentava roubar senhas bancárias, interceptando torpedos SMS e controlando o que o usuário via na tela.
O app QRecorder alcançou a marca de 10 mil downloads e teria gerado um prejuízo de 10.900 euros (cerca de R$ 50 mil).
De acordo com Stefanko, não foi possível determinar exatamente quais bancos estavam na mira do programa. No entanto, a lista deve ter incluído instituições financeiras da Alemanha, da República Tcheca e da Polônia.
Como funcionava
O vírus utilizava a permissão de sobreposição de tela do Android, que permite que um app crie elementos gráficos sobre outros aplicativos que estiverem em execução.
Com essa permissão, um aplicativo pode substituir janelas de navegação na web ou de outros aplicativos que forem executados, fazendo com que a vítima digite a sua senha diretamente na janela do programa malicioso e não no aplicativo legítimo.
Os perigos associados a essa permissão fizeram o Google impor uma limitação que impede que aplicativos instalados fora do Google Play a utilizem. No entanto, o “QRecorder” conseguiu passar pelos filtros, sendo cadastrado como um aplicativo legítimo no Google Play.
A capacidade do aplicativo de cumprir o prometido e realmente gravar as chamadas ajudou o app a enganar o Google e as demais vítimas que baixaram o QRecorder.
No caso do QRecorder, Stefanko explica que o app usava o recurso de “Acessibilidade” do Android para instalar um componente adicional. Em seguida, ele monitorava a lista dos aplicativos executados.
Sempre que o aplicativo de um dos bancos na lista de alvos do QRecorder era aberto, imediatamente era criada uma janela falsa para se sobrepor ao aplicativo original. Nesse momento, qualquer senha digitada iria imediatamente para o golpista.
Cuidados
O QRecorder é um exemplo da viabilidade dos ataques contra o Android, graças ao recurso de sobreposição de tela e filtros falhos no Google Play. Como este blog já alertou, a permissão de sobreposição é muito perigosa e só deve ser concedida a aplicativos absolutamente confiáveis.