A Malwarebytes acaba de descobrir que o Dropper RealShell, um programa mau intencionado que instala arquivos perniciosos sem o consentimento do usuário, acaba de ganhar uma atualização bastante significativa. Segundo um post do blog da empresa de segurança, a nova versão do Dropper de trojans é capaz de driblar as defesas tradicionais do seu Android.

"Todo Android Application Package (APK) possui recursos dentro dele. Estes recursos são pastas e arquivos necessários para que o programa rode de maneira funcional. Existem duas pastas opcionais em todo APK, uma delas é chamada de "raw", que fica em uma pasta chamada de "res" que sempre existe. A outra pasta opcional é chamada de "Assets" e fica na raiz do programa, quase todos os trojan droppers funcionam colocando arquivos prejudiciais em uma destas duas pastas."

A nova ameaça usa uma biblioteca de arquivos atípica e complexa, que não tem sido detectada pelas defesas do Android, elas são instaladas usando uma técnica muito diferente.

"No lugar de ter todo o APK guardado, ela o constrói aos poucos, concatenando os arquivos em uma única coisa ao longo do tempo. Os arquivos que ela usa ficam guardados na pasta "Assets" mas não representam nada no momento da instalação, eles parecem apenas arquivos de rascunho ou lixo não utilizável, apenas olhando de maneira mais profunda no código deles você pode entender a sua intenção".

Por enquanto, a Malwarebytes não encontrou nenhum arquivo infectado com o novo dropper em aplicativos da Google Play e outros lugares tradicionais. Isso significa que a única forma de por o seu sistema em risco é utilizando outras lojas de procedência desconhecida, o que já era essencialmente perigoso antes desta descoberta, também é sempre bom lembrar de apenas baixar arquivos de empresas que você confia e nunca cair em pegadinhas de aplicativos que dizem ser o que não são.