Um aplicativo malicioso de spyware para Android, apelidado de ‘BMI CalculationVsn’, foi descoberto na Amazon Appstore, se passando por uma ferramenta de saúde enquanto rouba furtivamente dados dos usuários. Esta aplicação foi identificado por pesquisadores do McAfee Labs, que notificaram prontamente a Amazon, resultando em sua remoção da loja. No entanto, os usuários que instalaram o aplicativo anteriormente devem excluí-lo manualmente e realizar uma verificação completa para garantir a erradicação completa do spyware.
Aplicativo spyware malicioso descoberto na Amazon Appstore
O aplicativo BMI CalculationVsn, publicado pela ‘PT Visionet Data Internasional’, tenta se apresentar como uma calculadora simples de índice de massa corporal (IMC). Os usuários encontram uma interface aparentemente simples que permite inserir peso e altura para calcular seu IMC; no entanto, funções malévolas adicionais são executadas em segundo plano.
Ao ativar o app, ele inicia um serviço de gravação de tela, solicitando permissão quando o usuário clica no botão ‘Calcular’. Essa tática pode enganar os usuários, fazendo-os conceder aprovações reflexas. Embora a investigação da McAfee tenha revelado que o vídeo gravado está armazenado localmente como um arquivo MP4, ele não foi carregado no servidor de comando e controle (C2). Essa evitação provavelmente se deve ao fato de o aplicativo ainda estar em estágio de desenvolvimento.
Um exame mais aprofundado do histórico do aplicativo indicou sua aparição inicial em 8 de outubro, com alterações em seu ícone, a adição de outras funcionalidades maliciosas e atualizações nas informações de seu certificado até o final do mês.
Funcionalidades e medidas de roubo de dados
O aplicativo Mickey CalculationVsn se envolve em várias atividades prejudiciais projetadas para comprometer a segurança do usuário. Além de gravar a tela, ele verifica o dispositivo em busca de outros aplicativos instalados, o que pode permitir que invasores tracem estratégias para seus próximos passos com base nas informações recuperadas. Esse recurso permite que eles identifiquem os usuários-alvo de maneira mais eficaz.
Além disso, o spyware intercepta e coleta mensagens SMS armazenadas no dispositivo, potencialmente capturando senhas de uso único (OTPs) e códigos de verificação. Os dados SMS interceptados são posteriormente carregados em um bucket de armazenamento do Firebase, indicando claramente um esforço coordenado para extrair informações confidenciais do usuário.
Botnet BADBOX infecta mais de 192.000 dispositivos Android em todo o mundo
O aplicativo continua sendo um trabalho em andamento, pois pesquisas em amostras anteriores sugerem que ele ainda está em fase de testes. A inspeção do código revelou que a versão inicial foi lançada como um aplicativo de gravação de tela, que posteriormente foi transformado em funcionalidade quando o ícone foi alterado para uma calculadora de IMC.
O desenvolvedor do BMI CalculationVsn opera sob o nome ‘PT Visionet Data Internasional’, que parece abusar da reputação de um provedor legítimo de serviços de gerenciamento de TI empresarial na Indonésia. Isso sugere que o criador do malware tem formação técnica e pode compreender os princípios de desenvolvimento de software.
À luz desta descoberta, os utilizadores são aconselhados a permanecer vigilantes ao descarregar aplicações da Amazon Appstore, que, sendo uma alternativa ao Google Play, pode alojar aplicações que contornam as medidas de segurança tradicionais. As precauções a serem consideradas incluem a instalação de software antivírus confiável, a revisão meticulosa das permissões de aplicativos solicitadas e o alerta para comportamentos incomuns do dispositivo que possam indicar atividades maliciosas.
Apesar da remoção do aplicativo da Appstore, os riscos para os usuários que o instalaram permanecem.
Crédito da imagem em destaque: Kerem Gülen/meio da jornada
