Pesquisadores da Zscaler têm relatado recentemente um aplicativo Android malicioso que falsificado o aplicativo legítimo chamado BatteryBot Pro. O aplicativo falsificado continha o nome do pacote “com.polaris.BatteryIndicatorPro”. Assim que o Google tornou-se ciente da intenção maliciosa, a empresa removeu o aplicativo da Play Store.
Breve Resumo da Malicious App
O aplicativo solicitou permissões excessivas do usuário em uma tentativa de controlar totalmente o dispositivo Android. O objetivo dos criminosos por trás deste golpe foi reunir dispositivos suficientes, uma vez que os teria gerado lucro de fraude do clique, fraude SMS premium e fraude ad. Mas suas intenções abusivas não terminou com isso como eles tentaram fornecer baixar e instalar outros pacotes do Android maliciosos chamados APKs.
real vs. BatteryBot malicioso Pro App
O falsificado aplicativo BatteryBot Pro vem em uma versão gratuita e Pro e é um aplicativo indicador de bateria bem conhecido para dispositivos Android. O aplicativo legítimo já foi baixado mais de 500,000 vezes, de acordo com estatísticas do Google Play.
De acordo com o pesquisador da Zscaler, Shivang Desai o aplicativo malicioso solicita dezenas de permissões, e muitos deles são benignos. O mal-intencionados incluem permissão para enviar mensagens SMS, acessar a internet, obter contas, desmontar sistemas de arquivos de montagem e, download sem notificação e processe chamadas de saída.
Em comparação com o aplicativo malicioso, as permissões que os pedidos de aplicativos legítimos são bastante limitadas. Eles incluem a leitura e modificar o conteúdo de um dispositivo de armazenamento USB, permissão para executar na inicialização, desativar a tela de bloqueio, controlar a vibração e impedir que o dispositivo entre em suspensão.
→“Após a instalação do aplicativo malicioso, exigiu acesso administrativo, que retrata claramente o motivo de desenvolvedor de malwares para obter acesso controle total para o dispositivo da vítima. Uma vez que a permissão é concedida, o aplicativo falso irá fornecer a mesma funcionalidade para a vítima encontrada na versão original do BatteryBot Pro, mas realiza atividades maliciosas em segundo plano,”Explicou Shivang Desai em uma relatório Zscaler.
Além disso…
Além da informação para o desserviço do aplicativo, Zscaler assinalou a recolha de dados específicos a partir de um dispositivo. Informações da memória disponível, o número IMEI, localização, língua, disponibilidade cartão SIM, o modelo do dispositivo é obtido. Outra desserviço notado está a carregar várias bibliotecas a fim de prosseguir a fraude do clique. Contudo, o desserviço mais irritante é sutil receber uma lista de anúncios a serem exibidos em conjunto com as URLs para onde para trazer os anúncios. Em pouco tempo, o dispositivo começa a baixar mais APKs e exibe anúncios pop-up para o usuário.
Contudo, o fato mais impressionante descoberta é que, enquanto o acesso ganhos app para administrador não pode ser removido pelo usuário.
→“O malware instala silenciosamente um aplicativo com um nome de pacote de com.nb.superuser, que é executado como um segmento diferente e reside no dispositivo, mesmo se o aplicativo está excluídos de forma forçada. Isto age como um serviço e envia pedidos de URLs codificados encontrados no app,”, Disse Desai.
Assim, um caminho entre o dispositivo eo atacante é introduzido e novos pedidos podem ser feitos.