Apps de filtros enviam pornografia e redirecionam usuários para sites de phishing

Pesquisadores da Trend Micro descobriram vários aplicativos de filtros para imagens e vídeos (detectados como AndroidOS_BadCamera.HRX) na Google Play que são capazes de acessar servidores remotos de anúncios e, dessa forma, podem ser usados para fins maliciosos. Alguns deles já foram baixados milhões de vezes. Segundo a empresa, um grande número de contagens de downloads é originário da Ásia – particularmente na Índia.

Como funciona o cibergolpe – a Trend Micro explica que o usuário que baixar um desses aplicativos não suspeitará imediatamente que há algo errado, até que ele decida excluir o aplicativo. O pacote com.beauty.camera.project.cloud, criará um atalho logo após ser executado. No entanto, ele ocultará seu ícone da lista de aplicativos, dificultando a desinstalação do mesmo, pois não será possível arrastá-lo e excluí-lo. Além disso, os aplicativos de câmera usam mecanismos para impedir que eles sejam analisados.

O aplicativo, então, envia vários anúncios em tela cheia quando os usuários desbloquearem seus dispositivos, incluindo anúncios maliciosos (como conteúdo pornográfico) que aparecerão por meio do navegador do usuário. Durante a análise dos pesquisadores, eles encontraram um player de pornografia on-line pago (detectado como AndroidOS_PornPlayer.UHRXA) que foi baixado ao clicar no pop-up. No entanto, nada será reproduzido, mesmo depois que o usuário pagar e executar o player.

O que  fazer

Como muitos desses aplicativos mal-intencionados fazem um grande esforço para parecer o mais legítimo possível, os pesquisadores da Trend Micro, alertam que os usuários devem sempre investigar a legitimidade do app que quiserem baixar. Um bom método para fazer isso é verificar as avaliações de outros usuários e mesmo se existirem uma grande quantidade de avaliações positivas, suspeite. No caso de maioria das pontuações ser de cinco estrelas ou de uma estrela, pode indicar que os revisores legítimos estão dando uma classificação baixa, enquanto bots estão dando uma classificação tão alta quanto possível.

Segundo a empresa de cibersegurança, nenhum desses aplicativos fornece qualquer indicação de que eles são os responsáveis pelos anúncios, tornando difícil para os usuários determinarem de onde vêm. Alguns deles, redirecionam para sites de phishing que solicitam informações pessoais ao usuário, como endereços e números de telefone.

Outras investigações da Trend Micro levaram a outro lote de aplicativos relacionados a filtros de fotos na Google Play com comportamento semelhante. Esses aplicativos aparentemente permitem que os usuários “embelezem” suas fotos fazendo o upload delas para o servidor designado. No entanto, em vez de obter um resultado final com a foto editada, o usuário obtém um falso aviso de atualização em nove idiomas diferentes. Os autores podem coletar as fotos enviadas no aplicativo e, possivelmente, usá-las para fins maliciosos, por exemplo, como fotos de perfis fakes nas redes sociais. A Trend Micro informa que o Google foi alertado e já desativou esses aplicativos.