Vírus informático no Google Play. Portugal está no Top 10 dos países da União Europeia afectados
No final do mês de Agosto de 2024, os especialistas da Kaspersky identificaram uma nova versão do Trojan Necro, infiltrado em várias aplicações populares no Google Play e modificado em aplicações em plataformas não oficiais, incluindo o Spotify, o WhatsApp e o Minecraft.
O Necro é um downloader para Android que permite descarregar e executar outros componentes maliciosos em dispositivos infectados com base em comandos emitidos pelos criadores do Trojan.
As soluções da Kaspersky registaram ataques em mais de 120 países do mundo e Portugal está entre os 30 mais afectados, ocupando mesmo o 8º lugar nos países da União Europeia.
A variante do Necro, descoberta pelos especialistas da Kaspersky, permite descarregar módulos para smartphones infectados que exibem anúncios em janelas invisíveis. Ao aceder a estes anúncios, o trojan pode descarregar ficheiros executáveis, instalar aplicações e abrir ligações arbitrárias em janelas WebView invisíveis com o intuito de executar código escrito em JavaScript.
Com base nas suas características técnicas, é provável que o cavalo de Troia também seja capaz de submeter os utilizadores a serviços pagos e associá-los a uma subscrição.
Além disso, os módulos descarregados permitem que os atacantes redireccionem o tráfego da Internet através do dispositivo da vítima. Isto permite que os cibercriminosos utilizem recursos proibidos ou desejados através do dispositivo da vítima, tornando-o parte de uma botnet proxy.
O Trojan Necro afetou 124 países em todo o mundo. Entre os países mais afectados encontram-se a Rússia, o Brasil, o Vietname, o Equador e o México. Na União Europeia, a Espanha lidera o ranking, seguida da Itália, Alemanha, França e Países Baixos. Portugal ocupa o sétimo lugar na União Europeia e o 27º no mundo.
A primeira descoberta do Necro, realizada pelos especialistas da Kaspersky, foi numa versão modificada do Spotify Plus. Os criadores da aplicação afirmaram que era segura para os dispositivos e que oferecia funcionalidades adicionais que não se encontravam na aplicação oficial de streaming de música.
Posteriormente, a Kaspersky encontrou também uma versão modificada do WhatsApp que continha o downloader Necro, seguida de versões infectadas de jogos populares, incluindo o Minecraft, o Stumble Guys e o Car Parking Multiplayer.
O Necro foi incorporado nestas aplicações através de um módulo de anúncios não verificado.
A campanha Necro foi também descoberta no Google Play. O downloader malicioso foi encontrado na aplicação Wuta Camera e no Max Browser. De acordo com as estatísticas do Google Play, os downloads combinados destas aplicações excederam os 11 milhões.
Nesta plataforma, o Necro foi também distribuído através de um módulo de anúncios não verificado. Após o relatório da Kaspersky Lab à Google, o código malicioso foi removido da Wuta Camera e o Max Browser foi retirado da loja. No entanto, os utilizadores ainda correm o risco de encontrar este trojan em plataformas não oficiais.
«Os utilizadores descarregam frequentemente aplicações não oficiais e modificadas para contornar as restrições das aplicações oficiais ou para aceder a funcionalidades adicionais gratuitas. Os cibercriminosos exploram este comportamento e propagam malware através destas aplicações, uma vez que não existe moderação em plataformas de terceiros», destaca Dmitry Kalinin, especialista em cibersegurança da Kaspersky.
As soluções de segurança da Kaspersky protegem os utilizadores contra trojans como o Necro e detetam a presença de downloaders como o Trojan-Downloader.AndroidOS.Necro.f e TrojanDownloader.AndroidOS.Necro.h, com os componentes maliciosos identificados como Trojan.AndroidOS.Necro.
Para se protegerem contra esta e muitas outras ciberameaças do Android, os especialistas da Kaspersky também recomendam:
- Faça o download das aplicações apenas através de fontes oficiais;
- Actualize regularmente o sistema operativo e as aplicações instaladas;
Opte por uma solução de segurança fiável de um fabricante de confiança cujos produtos sejam verificados por