Thomas Quinn / Pixabay

A segurança da Google Play Store foi comprometida. Quem o diz é um grupo de investigadores da Check Point que conseguiu identificar uma nova família de malware integrado em 56 aplicações e que foi descarregada cerca de um milhão de vezes em todo o mundo.

Saliente-se que 24 destas aplicações (entre as quais se encontravam quebra-cabeças, jogos de corridas) eram dirigidas ao público infantil, e as restantes eram aplicações de uso geral (aplicações de cozinha, tradutores, etc.). Esta descoberta só foi possível um mês depois dos investigadores da Check Point descobriram que o malware Haken tinha sido descarregado e instalado em mais de 50 000 dispositivos Android.

Segundo avança a Check Point em comunicado, esta nova família de malware, conhecido como Tekya, é um adclicker, uma ciberameaça na indústria mobile que simula o comportamento do utilizador a clicar sobre ‘banners’ e anúncios de agências como AdMob da Google, AppLovin’, Facebook e Unity com o objectivo de gerar lucros financeiros fraudulentos. Os cibercriminosos por detrás desta campanha clonaram aplicações reais da Store com o objectivo de incrementar a audiência, sobretudo entre crianças, já que a maioria das aplicações onde foi encontrado o malware Tekya são jogos infantis.

Como funciona o Tekya?

A Check Point explica. O malwae Tekya foi capaz de iludir as medidas de segurança da VirusTotal e Google Play Protect, um sistema desenvolvido pela Google para garantir a segurança do sistema operativo Android. Neste sentido, esta variante de malware camuflava-se como parte do código nativo das aplicações e empregava o mecanismo ‘MotionEvent’ para Android (introduzido em 2019) para imitar as acções do utilizador e gerar cliques.

Por outro lado, quando um utilizador descarregava alguma das aplicações infectadas no dispositivo, automaticamente registava-se um receptor (‘us.pyumo.TekyaReceiver’) que permitia levar a cabo acções como “BOOT_COMPLETED” (permite que o código seja executado no arranque do dispositivo), “USER_PRESENT” (para detectar quando o utilizador está a utilizar de forma activa o dispositivo) e “QUICKBOOT_POWERON” (para permitir que o código malicioso seja executado depois de reiniciar o dispositivo).

Como se podem proteger os utilizadores face a este tipo de ameaças?

Os especialistas da Check Point referem que os utilizadores não podem confiar unicamente nas medidas de segurança do Google Play para garantir a protecção dos seus dispositivos, por isso aconselham a eliminar qualquer tipo de aplicação suspeita e instalar as últimas actualizações do sistema operativo e restantes programas para garantir a segurança do dispositivo.