Um novo relato informa a descoberta de que recentemente a Google Play tem sido o lar de 400 aplicativos maliciosos capazes de transformar dispositivos infectados em pontos de vazamento de dados confidenciais de redes protegidas ligadas a eles.

Pesquisadores de segurança da Trend Micro descobriram o ataque e explicam que um dos aplicativos maliciosos infectado com este malware, chamado "DressCode", teria sido transferido entre 100.000 a 500.000 vezes antes de ser retirado da loja do Google. Conhecido como "Mod GTA 5 for Minecraft PE", este app é um malware disfarçado de jogo, incluindo no seu código um componente que estabelece uma conexão persistente com um servidor controlado pelo atacante.

O servidor, em seguida, teria a capacidade de ignorar as proteções de tradução de endereços de rede (NAT, da sigla em inglês), que protegem dispositivos individuais dentro de uma rede. Isso significa que os dispositivos infectados podem ser usados pelo hacker para criar um caminho dentro de redes.

Este malware permite que os invasores possam se infiltrar no ambiente de rede de um usuário. Se um dispositivo infectado se conecta a uma rede corporativa, o atacante pode ignorar o dispositivo NAT para atacar o servidor interno ou baixar dados confidenciais usando o dispositivo infectado como um trampolim.

De acordo com a explicação da Trend Micro, o malware instala um proxy no dispositivo, que se torna um "túnel" que permite controlar e dar comandos para o dispositivo. Ele então pode ser usado, por exemplo, para conectar dispositivos em bots e construir uma botnet, que é uma rede de dispositivos "zumbis" que pode ser usada para uma variedade de coisas, como um ataque negação de serviço (DDoS). Por sinal, esse tipo de ataque tem alcançado níveis nunca vistos antes, na última semana.

O botnet pode usar os endereços IP com proxy também gerados pelo malware para criar tráfego falso, anúncios clicáveis disfarçados, e gerar receitas para os atacantes.

Foram descobertos pela Trend Micro 3.000 desses aplicativos no total, dentre os quais 400 estavam disponíveis através da Google Play Store. A Trend disse que apenas uma pequena porção de cada um desses apps continha as funções maliciosas, uma característica que torna a difícil a detecção.

Google informou ao Ars Technica que está ciente sobre o assunto e que está "tomando as ações necessárias”.