Aplicativos do Google Play prometiam sapatos grátis, mas os usuários receberam malware de anúncios de fraude
O Google removeu um número não revelado de aplicativos Android da loja oficial do Google Play que, segundo a empresa, faziam parte de um botnet de anúncios de fraude.
Denominado Terracotta, este botnet foi descoberto pela equipe de segurança móvel Satori da White Ops, uma empresa de segurança especializada em identificar o comportamento do bot.
Os pesquisadores da White Ops disseram que têm rastreado a Terracotta desde o final de 2019, quando a rede de bots parece ter se tornado ativa.
Instalar um aplicativo malicioso para um produto gratuito
Para os pesquisadores, a Terracotta operava carregando aplicativos na Loja do Google Play que prometiam aos usuários benefícios gratuitos se eles instalassem os aplicativos em seus dispositivos.
Os aplicativos geralmente ofereciam sapatos, tênis, botas e, às vezes, ingressos, cupons e tratamentos dentários caros. Os usuários eram instruídos a instalar o aplicativo e depois esperar duas semanas para receber os produtos gratuitos, durante esse período eles tinham que deixar o aplicativo instalado em seu smartphone.
Entretanto, os aplicativos baixaram e rodaram uma versão modificada do WebView, uma versão mais leve do Google Chrome. A gangue Terracotta lançou o navegador WebView modificado, escondido da visão do usuário, e realizou fraudes publicitárias carregando anúncios e obtendo receitas de impressões publicitárias falsas.
A equipe White Ops descreveu o Terracotta como complexo e massivo. Era complexo porque usava técnicas avançadas para evitar a detecção das redes de anúncios defraudados, e era massivo por causa da escala em que operava.
Por exemplo, a White Ops disse que só na última semana de junho, a rede de bots Terracotta carregou silenciosamente mais de dois bilhões de anúncios somente dentro de 65.000 smartphones infectados.
Alguns aplicativos Terracotta foram removidos do Google Play
Atualmente, após a intervenção do Google, a presença do botnet na Play Store foi reduzida, mas não totalmente removida, com alguns dispositivos ainda parecendo estar infectados.
Alguns usuários podem pensar que, como os aplicativos maliciosos Terracotta estavam defraudando as redes de anúncios e não os usuários diretamente, esta botnet pode não ser um problema para eles, mas, em dispositivos infectados, os aplicativos maliciosos muitas vezes gastariam as baterias e consumiriam o tráfego de banda móvel devido ao fato de os aplicativos maliciosos estarem funcionando 24 horas por dia.
Infelizmente, a White Ops não divulgou uma lista de aplicativos infectados pelo Terracotta. Entretanto, a boa notícia é que quando o Google remove aplicativos maliciosos da Play Store, a empresa também desativa os aplicativos maliciosos em todos os dispositivos dos usuários, interrompendo seu comportamento malicioso.
“Devido a nossa colaboração com a White Ops investigando a operação de fraude publicitária da TERRACOTTA, suas descobertas críticas nos ajudaram a conectar o caso a um conjunto previamente encontrado de aplicativos móveis e a identificar outros aplicativos maliciosos”. Isto nos permitiu agir rapidamente para proteger usuários, anunciantes e o ecossistema mais amplo – quando determinamos violações de políticas, tomamos medidas”, disse um porta-voz do Google.
Para pesquisadores de segurança, desenvolvedores de aplicativos Android e engenheiros de software, a White Ops publicou um relatório técnico aprofundado detalhando o trabalho interno da Terracotta.