Os pesquisadores da Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, fornecedora líder de soluções de cibersegurança global, identificou um novo vírus (também chamado de malware) que está sendo distribuído por meio de apps da loja oficial da Microsoft. A CPR calculou 5 mil vítimas em 20 países até o momento.
LEIA MAIS: Mais da metade dos brasileiros sofreram crimes cibernéticos em 2021
O malware Electron-bot, denominação dada pela equipe da CPR, consegue controlar contas de redes sociais das vítimas, incluindo Facebook, Google e SoundCloud. O malware pode registar novas contas, iniciar sessão, comentar e curtir posts.
O Electron-bot tem a capacidade de:
- “Envenenar” o SEO, um método de ataque em que os cibercriminosos criam um site malicioso e utilizam a tática de otimização do mecanismo de busca para que apareça nos resultados de pesquisa. Este método é também usado para vender outros serviços e promover outros sites.
- Ad Clicker, uma infecção do computador que é executada em segundo plano e se conecta constantemente a sites remotos para gerar “cliques” para anúncios, obtendo lucro financeiro com a quantidade de vezes que um anúncio é clicado.
- Promover contas de redes sociais, como o YouTube ou SoundCloud para redirecionar o tráfego para um conteúdo específico e aumentar as visualizações e cliques nos anúncios para gerar lucros.
- Promover produtos online, a fim de gerar lucros com cliques em anúncios ou aumentar a classificação da loja para mais vendas.
Além disso, o código do Electron-bot é carregado dinamicamente, o que significa que os atacantes podem utilizar o vírus já instalado como porta de entrada para obter o controle total da máquina da vítima.
Distribuição via apps de jogos na Microsoft Store
Existem diversos aplicativos infectados na loja da Microsoft. Jogos populares como “Temple Run” ou “Subway Surfer” foram considerados maliciosos. A CPR detectou diversos editores e produtoras de jogos maliciosos, em que todos os seus aplicativos estavam relacionados com a campanha maliciosa do Electron-bot:
- Lupy games;
- Crazy 4 games;
- Jeuxjeuxkeux games;
- Akshi games;
- Goo Games;
- bizon case.
Até ao momento, a CPR verificou 5 mil vítimas em 20 países; a maioria delas localizam-se na Suécia, Bermudas, Israel e Espanha.
Para que o vírus chegue até às vítimas, o método de distribuição funciona a partir dos seguintes passos:
- O ataque começa com a instalação de um aplicativo da Microsoft Store que parece ser legítimo.
- Após a instalação, o hacker baixa os arquivos da vítima e executa os códigos.
- O malware, que já foi baixado, persiste na máquina da vítima, executando repetidamente vários comandos enviados pelo sistema C&C (Command&Control) do atacante.
Para evitar a detecção, a maioria dos códigos que controla o malware é carregada dinamicamente pelo servidor dos atacantes. Isso permite que eles modifiquem parte do vírus (o payload) e alterem o comportamento dos bots a qualquer momento. O malware utiliza a estrutura Electron-bot para imitar o comportamento de navegação de uma pessoa e evitar as proteções do site.
Microsoft já foi avisada
A equipe da CPR relatou à Microsoft todos os editores de apps disponíveis em sua loja relacionados a esta campanha de vírus. Segundo a CPR, o medo é que os hackers aproveitem o vírus para aumentar a superfície de ataque e acessem outros recursos do computador. Como a carga útil do bot é carregada remotamente a cada tempo de execução, os atacantes podem modificar o código e alterar o comportamento do bot para alto risco
Por exemplo, eles podem inicializar outro segundo estágio e descartar um novo malware, como um ransomware. Tudo isso pode acontecer sem o conhecimento da vítima. E como a maioria das pessoas pensa que se pode confiar nas avaliações da loja de aplicativos, não há uma hesitação em baixar um aplicativo a partir da loja.
Para o usuário se manter o mais seguro possível, a Check Point orienta seguir as dicas abaixo antes de baixar um aplicativo de lojas:
- Evitar baixar um aplicativo com poucas avaliações.
- Procurar por aplicativos com avaliações boas, consistentes e de confiança.
- Prestar atenção aos nomes dos aplicativos que podem não ser iguais ao nome original.