Praga digital 'Joker' foi encontrada em apps da loja da Huawei, enquanto instalador da APKPure estava contaminado com vírus 'Triada'. 

A fabricante de antivírus russa Dr. Web publicou alertas informando que pragas digitais foram encontradas em duas lojas "alternativas" de aplicativos para Android: a APKPure e a Huawei AppGallery.

Embora bastante diferentes um do outro, ambos os casos são recentes e demonstram os desafios que usuários de Android podem enfrentar para obter apps de forma segura.

O blog não recomenda utilizar outras lojas além da Play Store, mas até downloads na Play Store exigem cautela.

O AppGallery é uma loja oferecida pela Huawei que funciona da mesma forma que a loja do Google. Desenvolvedores podem cadastrar apps no AppGallery, mas devem ser aprovados para publicação.

Em seu site, a fabricante afirma que "o AppGallery possui um mecanismo de detecção de quatro camadas para garantir que os aplicativos apresentados na plataforma sejam seguros para download e uso".

Mas, de acordo com a Dr. Web, dez aplicativos de dois desenvolvedores foram cadastrados na loja com o Joker, um código malicioso para Android que se conecta a um servidor de controle para receber comandos e "módulos" de funcionamento.

Entre suas várias funções, o Joker tenta interceptar mensagens SMS para cadastrar o usuário em serviços "premium", que aumentam a conta de telefone e transferem a receita desse cadastro para o golpista.

Esse código malicioso é conhecido pelo menos desde 2017, mas está em constante evolução. Diversas versões do Joker já apareceu na Play Store, mas é a primeira vez que um código malicioso é encontrado no AppGallery da Huawei, segundo a Dr. Web. 

O blog procurou a Huawei para comentar o caso, mas a empresa não se manifestou até a publicação. 

Código no instalador da APKPure

A APKPure é uma loja que promete aos usuários a possibilidade de baixar apps da Play Store de qualquer região e a partir de qualquer aparelho, inclusive aqueles que não foram certificados pelo Google.

Por ser um "clone" da Play Store, a APKPure teria o mesmo conteúdo e normalmente não seria possível que um app malicioso estivesse disponível na loja da APKPure e não na Play Store.

Contudo, o próprio instalador da APKPure estava contaminado com um código malicioso. Ou seja, o problema não eram os apps específicos da loja, mas a loja em si.

De acordo com os especialistas da Dr. Web e da Kaspersky, o arquivo de instalação da APKPure possuía um kit de códigos de publicidade ("SDK", na sigla em inglês) que executava instruções associadas ao Triada, um programa malicioso conhecido para Android.

Dependendo da versão do Android – especialmente em versões antigas –, o Triada pode tentar instalar o xHelper, um programa malicioso agressivo que não é removido pela redefinição do sistema.

Em todos os dispositivos, o Triada atua exibindo anúncios publicitários em momentos inoportunos, atrapalhando o uso do celular, drenando a bateria e consumindo o pacote de dados.

Por ser um código malicioso versátil, o Triada também pode instalar outros programas no celular para realizar outras atividades. O Triada também é capaz de cadastrar o usuário em serviços que aumentam a conta de telefone, como o Joker.

Os responsáveis pela APKPure publicaram uma nova versão do instalador, a 3.17.19, informando que foi "corrigido um problema de segurança". Não foi explicado como o código do Triada foi parar no arquivo.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

Fonte: G1 - 13/04/2021