O Brasil foi identificado pela Kaspersky como uma das principais vítimas do Shopper, um malware mobile que permite que fraudadores tomem o controle dos handsets e publiquem falsas opiniões em lojas de apps no lugar dos donos dos dispositivos.

De acordo com a empresa de segurança, o Brasil teve 18,7% do total de infecções globais e ficou atrás apenas da Rússia, que respondeu por 28,46%. O recorde de ataques foi entre os meses de outubro e novembro do ano passado.

Mascarado como um app batizado de “ConfigAPKs”, a Kaspersky acredita que o malware chega ao handset do usuário por instalação de apps fraudulentos em lojas de terceiros ou anúncios fraudulentos.

Chama a atenção que o malware funcione sem o consentimento do usuário e use serviços de acessibilidade do Google Android, além de uma série de ferramentas de auxílio aos usuários com deficiência visual ou de fala, por exemplo.

Como funciona

O Shopper pede autorização para uso das funções de acessibilidade. Com o acesso liberado, o pseudo app consegue interagir com interfaces e aplicativos do sistema com quase total liberdade de controle. Entre as empresas que podem ter sido afetadas ao receber avaliações impróprias na Google Play, a Kaspersky identificou Alibaba, Aliexpress e Likee.

Além do acesso à Google Play, o Shopper ainda pode tomar outras ações como: desativar a proteção do Google Play; abrir links externos em uma janela invisível; exibir anúncios desbloqueando a tela, baixar apps na loja Apkpure; abrir e instalar aplicações de publicidade da Google Play; e trocar as tags de apps instalados por páginas anunciadas.

Atualização

A Kaspersky pediu para informar que, ao contrário do relatório original de sua análise que apontava os apps Android da Netshoes e Submarino não foram vítimas de comentários danosos nas lojas dos apps. Em nota enviada ao Mobile Time, a Kaspersky esclarece: “Ao contrário do que dizia a primeira versão do relatório, não foram identificadas ações maliciosas em apps de empresas brasileiras na análise de vítimas e, por isso, nosso relatório foi atualizado. Quanto às companhias internacionais citadas, é importante esclarecer que o malware não explora vulnerabilidades nos apps legítimos ao baixá-los ou ao criar uma conta neles sem o conhecimento do proprietário do dispositivo infectado. O trojan app utiliza os serviços de acessibilidade do Google para se passar pela vítima de interagir com os programas.”