Os aplicativos móveis são práticos e fáceis de usar, mas às vezes seus desenvolvedores não se dedicam suficientemente à segurança de retaguarda. As grandes empresas da Internet, como a Amazon, o Facebook e o Google, prestam serviços para muitos aplicativos, como armazenamento seguro e recursos de gerenciamento de dados, mas cabe ao desenvolvedor do aplicativo implementar o acesso a esses serviços, levando em conta a segurança.
No ano passado, o McAfee Labs se uniu à Universidade Técnica de Darmstadt e ao Fraunhofer SIT para analisar a exposição da retaguarda de dois milhões de aplicativos móveis. Foi descoberto que muitas vezes a segurança deles é falha, permitindo o acesso não autorizado ao seu respectivo armazenamento na nuvem, incluindo nomes, endereços de email, senhas, fotos, operações financeiras e registros médicos. Essas informações podem ser utilizadas para roubo de identidade, distribuição de malware e estelionato.
Segundo o Relatório do McAfee Labs sobre Ameaças, de novembro de 2015, alguns criadores de aplicativos não seguem as diretrizes de documentação e segurança fornecidas pelos serviços de retaguarda. Como a maioria dos aplicativos tem uma chave secreta embutida, uma das recomendações mais importantes é empregar, na manipulação do registro de dados importantes, um canal diferente do canal da atividade fim do aplicativo. Caso contrário, alguém com pouco conhecimento técnico pode facilmente extrair a chave e ler, atualizar ou excluir registros.
A ironia é que os aplicativos que transportam malware também não seguem as orientações de segurança dos serviços de retaguarda que utilizam, permitindo que os pesquisadores investiguem suas atividades mal-intencionadas. A Intel Security analisou 294.817 aplicativos de malware móvel e encontrou 16 que utilizam práticas ruins de programação de segurança para a conexão com a famosa retaguarda Facebook Parse. Eles estavam associados a duas famílias de Cavalos de Tróia para banco pelo celular, Android/OpFake e Android/Marry. O Facebook foi notificado e essas contas foram encerradas.
A Intel Security descompilou e analisou esses Cavalos de Tróia para entender como eles funcionam e quais informações eles coletam. Após a instalação, normalmente a partir de um link mal-intencionado numa mensagem de texto, que se apresenta como sendo de um conhecido aplicativo russo de mensagens instantâneas, o malware esconde seu ícone e inicia um serviço em segundo plano para interceptar as mensagens de SMS e enviar informações do usuário ao seu servidor de controle. Agentes de malware utilizam o serviço de retaguarda para enfileirar e gerenciar os comandos de cada telefone infectado, à espera de mensagens de SMS de aplicativos bancários que podem modificar e reutilizar.
Nos meses de junho e julho, apenas essas duas famílias de malware interceptaram quase 170 mil mensagens de SMS, a maioria delas pessoais, violando a privacidade das pessoas infectadas. No entanto, essas mensagens continham várias operações bancárias, tais como consultas a números de cartão de crédito, saldos de contas e realização de transferências de valores. Mais de 20 mil comandos foram executados nesse período, principalmente para estelionato.
Contando o número de identificadores de dispositivos exclusivos no armazenamento de dados do malware no serviço de retaguarda, foi determinado que aproximadamente 40 mil usuários foram afetados por esses dois Cavalos de Tróia.
A lição tirada dessa investigação é que se deve tomar muito cuidado com os aplicativos que você baixa no celular. Como é muito difícil conhecer a segurança da implementação de retaguarda de um determinado aplicativo, recomendamos que você prefira os aplicativos idôneos com homologação de segurança independente. Além disso, evite o enraizamento do dispositivo ou não deixe de desenraizá-lo depois de utilizar privilégios necessários de administrador, pois o malware muitas vezes usa indevidamente os direitos de acesso para instalar aplicativos discretamente e sem consentimento.
Vincent Weafer, vice-presidente do Intel Security Group.
