A quantidade de malwares encontrados em dispositivos Android só tem aumentado. Existem alguns que não precisam nem de instalação, apenas a visita a um site, e existem outros que se aproveitam de versões antigas do Android para se espalhar. Outros, mais perigosos, conseguem até atravessar a segurança de lojas confiáveis de apps, como Google Play e Amazon, para afetar milhares de usuários ao redor do mundo.

Pesquisadores da empresa de segurança Trend Micro detectaram uma nova ameaça no Android que pode afetar até 90% dos dispositivos do robozinho no mundo todo. Trata-se de uma nova versão do malware Godless, que pode atacar dispositivos com a versão Lollipop ou anterior. Ou seja, apenas aqueles cerca de 10% que já rodam o 6.0 Marshmallow estão protegidos - ao menos por enquanto.

Com base em dados levantados do Trend Micro Mobile App Reputation Service, aplicativos maliciosos relacionados a essa ameaça podem ser encontrados e lojas de apps proeminentes, incluindo a Google Play, e já afetaram mais de 850.000 dispositivos mundialmente", alertaram os pesquisadores.

Como funciona

De acordo com eles, o malware funciona de maneira parecida com os "exploit kits", aproveitando-se de várias brechas no sistema e utilizando uma estrutura de código aberto chamada android-rooting-tools. O Godless é instalado silenciosamente junto a outra aplicativo baixado, podendo até mesmo ser encontrado em apps na Google Play, e assim consegue privilégios root, podendo ser controlado remotamente para instalar outros softwares indesejados no dispositivo ou até mesmo espionar o usuário, roubando senhas e dados pessoais.

Na versão antiga do malware, o ataque só ocorria depois de apagada a tela do dispositivo. O processo era realizado como se fossem aplicativos do sistema em forma de um arquivo com criptografia AES e um nome comum, como "_image". Esta infeção era difícil de resolver.

Agora, o Godless utiliza um servidor de comando e controle remoto para buscar exploits e payloads. Assim, o código consegue driblar checagens de segurança feita pela Google Play e outras lojas de apps. A loja oficial do Google já removeu os apps infectados, que iam desde lanternas até buscadores de redes Wi-Fi, além de cópias de jogos e apps populares.

Porém, de acordo com a Trend Micro, existem cópias maliciosas de apps legítimos, que possuem até o mesmo certificado de desenvolvedor em outras fontes de download. Assim, usuários que fazem atualizações por meio de APKs podem estar em risco de acabar instalando uma versão com o malware em seus dispositivos.

Proteja-se

A Trend Micro recomenda sempre realizar uma checagem do histórico do desenvolvedor antes de realizar a instalação de um aplicativo. "Desenvolvedores desconhecidos, com um histórico pequeno ou inexistente podem ser a fonte desses apps maliciosos", avisam os pesquisadores. Para uma garantia maior, é melhor sempre instalar aplicativos e jogos de lojas confiáveis, como a Google Play ou a Amazon.

Outra recomendação é utilizar apps que chequem a presença de malwares no dispostivo, como um antivírus.