Vírus bancário no Google Play rouba senhas na Europa

O espe­cial­ista em segu­rança Lukas Ste­fanko, da fab­ri­cante de antivírus Eset, desco­briu que um pro­gra­ma de gravação de chamadas para celu­lares Android, cadastra­do no Google Play, ten­ta­va roubar sen­has bancárias, inter­cep­tan­do tor­pe­dos SMS e con­trolan­do o que o usuário via na tela.

O app QRecorder alcançou a mar­ca de 10 mil down­loads e teria ger­a­do um pre­juí­zo de 10.900 euros (cer­ca de R$ 50 mil).

De acor­do com Ste­fanko, não foi pos­sív­el deter­mi­nar exata­mente quais ban­cos estavam na mira do pro­gra­ma. No entan­to, a lista deve ter incluí­do insti­tu­ições finan­ceiras da Ale­man­ha, da Repúbli­ca Tcheca e da Polô­nia.

Como funcionava

O vírus uti­liza­va a per­mis­são de sobreposição de tela do Android, que per­mite que um app crie ele­men­tos grá­fi­cos sobre out­ros aplica­tivos que estiverem em exe­cução.

Com essa per­mis­são, um aplica­ti­vo pode sub­sti­tuir janelas de nave­g­ação na web ou de out­ros aplica­tivos que forem exe­cu­ta­dos, fazen­do com que a víti­ma dig­ite a sua sen­ha dire­ta­mente na janela do pro­gra­ma mali­cioso e não no aplica­ti­vo legí­ti­mo.

Os peri­gos asso­ci­a­dos a essa per­mis­são fiz­er­am o Google impor uma lim­i­tação que impede que aplica­tivos insta­l­a­dos fora do Google Play a uti­lizem. No entan­to, o “QRecorder” con­seguiu pas­sar pelos fil­tros, sendo cadastra­do como um aplica­ti­vo legí­ti­mo no Google Play.

A capaci­dade do aplica­ti­vo de cumprir o prometi­do e real­mente gravar as chamadas aju­dou o app a enga­nar o Google e as demais víti­mas que baixaram o QRecorder.

No caso do QRecorder, Ste­fanko expli­ca que o app usa­va o recur­so de “Aces­si­bil­i­dade” do Android para insta­lar um com­po­nente adi­cional. Em segui­da, ele mon­i­tora­va a lista dos aplica­tivos exe­cu­ta­dos.

Sem­pre que o aplica­ti­vo de um dos ban­cos na lista de alvos do QRecorder era aber­to, ime­di­ata­mente era cri­a­da uma janela fal­sa para se sobre­por ao aplica­ti­vo orig­i­nal. Nesse momen­to, qual­quer sen­ha dig­i­ta­da iria ime­di­ata­mente para o golpista.

Cuidados

O QRecorder é um exem­p­lo da via­bil­i­dade dos ataques con­tra o Android, graças ao recur­so de sobreposição de tela e fil­tros fal­hos no Google Play. Como este blog já aler­tou, a per­mis­são de sobreposição é muito perigosa e só deve ser con­ce­di­da a aplica­tivos abso­lu­ta­mente con­fiáveis.