Nelson Cilo
postado em 02/09/2019 06:00
São Paulo ; Nem russo, nem chinês. O mais recente vírus virtual que se espalhou pelo país neste ano é brasileiro mesmo. Pesquisadores da empresa de cibersegurança Kaspersky identificaram que o BRata, que se apresentava como uma atualização do WhatsApp, era um malware hospedado na Google Play Store.
O vírus recebeu esse nome por ser um Android RAT (Remote Administration Tool), espião capaz de monitorar em tempo real a tela dos aparelhos. O BRata espelha o display para copiar todas as atividades da vítima, desde conversas pessoais até senhas de banco.
Segundo Dmitry Bestuzhev, diretor da equipe de pesquisa da Kaspersky na América Latina, os brasileiros, desde janeiro, são alvo do ataque. As iscas para convencer os usuários a cair no golpe eram notificações em sites comprometidos, mensagens no WhatsApp ou por SMS e links patrocinados nas buscas do Google, segundo reportagem publicada pelo site de tecnologia Tecnoblog.
;Atualmente, qualquer pessoa tem acesso a kits para corromper a segurança de dispositivos. O malware é comercializado no mercado clandestino da internet por menos de R$ 3 mil;, disse Dmitry Bestuzhev, durante o encontro Panorama de Ciberameaças na América Latina, realizado nesta semana pela Kaspersky, na Argentina.
Depois de detectado, o BRata foi reportado ao Google, que bloqueou o problema. O desafio, no entanto, é evitar que ele ressurja com outra aparência.
O malware foi reconhecido como uma disfarçada correção para uma falha real usada em ataques contra o WhatsApp. Vinte mutações do mesmo vírus espião foram detectadas. Segundo a Kaspersky, foram feitos mais de 10 mil downloads na Google Play Store, somando 550 vítimas por dia até a fraude ser descoberta.
;Para vencer a detecção do Google, os criminosos usam alguns tipos de proteção de código. Como o sistema do Google busca comportamentos padronizados, neste caso não detectou nada;, afirma Santiago Pontiroli, analista de segurança da Kaspersky.
Requisitos
O Google afirmou que, atualmente, a Google Play Store conta com 2 bilhões de aplicativos para o Android. A empresa diz que não comenta casos específicos e que, para um desenvolvedor solicitar a inclusão de um aplicativo na loja, precisa seguir as políticas do Google. Caso contrário, pode ser punido por isso.
;Após o envio para aprovação, todo novo aplicativo passa por uma avaliação, que tem o prazo mínimo de três dias;, disse o Google, por meio de comunicado. ;Contudo, esse tempo pode variar em função de diversos fatores. Durante esse período, o programa passa por uma análise para conferir se atende a cada requisito específico de nossa Política de Software Indesejado. Qualquer programa que viole e seja potencialmente prejudicial ao usuário está sujeito às medidas cabíveis para garantir a segurança.;
A empresa criou, também, um programa que verifica dispositivos Android ativa e automaticamente: o Google Play Protect. ;A partir dessa tecnologia, analisamos cerca de 50 bilhões de aplicativos por dia em busca de ameaças. Caso seja identificado qualquer comportamento suspeito, o software é excluído da loja e o usuário é notificado;, disse a empresa, em nota.
O BRata, além de expor o que passa na tela do celular, consegue roubar e-mails, mensagens trocadas em aplicativos, histórico de localização e navegação do usuário, senhas e logins de banco, ativar a câmera e o microfone do aparelho. Além disso, é capaz de escurecer a tela remotamente para ocultar o que o criminoso está fazendo no celular.
Tudo isso usando o recurso dos Serviços de Acessibilidade do Android para interagir com outros aplicativos instalados no dispositivo. ;A única coisa estranha que aparecia de diferente no processo de instalação é que o BRata pedia permissões para usar os serviços de acessibilidade. Somente isso, nenhum outro mais. O nome do desenvolvedor do app também era outro;, explica Pontiroli. Ao ser enganado, quem baixava o falso update do WhatsApp via a mensagem: ;Atualização aplicada com sucesso;.