A segurança da Google Play Store foi comprometida novamente. Os pesquisadores da Check Point identificaram uma nova família de malware que estava disponível em 56 aplicativos e foi baixada em 1 milhão de vezes em todo o mundo. Deve-se notar que 24 dos aplicativos (incluindo quebra-cabeças e jogos de corrida) eram direcionados a crianças, enquanto o restante era de uso geral (aplicativos de cozinha, tradutores, entre outros).
Este novo evento ocorre apenas um mês após os pesquisadores da empresa descobriram que o malware Haken, encontrado em oito aplicativos maliciosos diferentes, havia sido baixado e instalado em mais de 50 mil dispositivos Android.
De acordo com a equipe de pesquisadores da Check Point, o grande número de downloads que os cibercriminosos infiltraram com sucesso no Google Play é surpreendente. Ao combinar isso com uma metodologia de infecção relativamente simples, pode-se deduzir que a Google Play Store ainda pode abrigar aplicativos maliciosos.
Além disso, é difícil verificar se todos os aplicativos estão seguros na Play Store, mas, vale alertar aos usuários que eles não podem confiar apenas nas medidas de segurança do Google Play para garantir a proteção de seus dispositivos; devem ter ferramentas ou produtos em todos os seus dispositivos para reforçar a proteção.
Essa nova família de malware, conhecida como Tekya, é um adclicker, uma ciberameaça em ascensão em dispositivos móveis que simula o comportamento do usuário clicando em banners e anúncios de agências como Google AdMob, AppLovin, Facebook e Unity com o objetivo de gerar benefícios financeiros fraudulentos. Além disso, os cibercriminosos por trás desta campanha clonaram aplicativos reais da Play Store, a fim de aumentar o público, principalmente entre crianças, uma vez que a maioria das capas de aplicativos para malware Tekya são de jogos infantis.
Como o Tekya funciona?
Um dos dados mais destacados da investigação realizada pela Check Point revela que o Tekya conseguiu contornar as medidas de segurança do VirusTotal e do Google Play Protect, um sistema desenvolvido pelo Google para garantir a segurança do sistema operacional Android. Nesse sentido, essa variante de malware foi camuflada como parte do código nativo dos aplicativos e usou o mecanismo 'MotionEvent' no Android (introduzido em 2019) para imitar ações do usuário e gerar cliques.
Por outro lado, quando um usuário baixava qualquer um dos aplicativos infectados no dispositivo, um receptor ('us.pyumo.TekyaReceiver') era registrado automaticamente, permitindo que diferentes ações fossem executadas, como "BOOT_COMPLETED" (permite que o código seja executado quando o dispositivo é iniciado, conhecido como "inicialização a frio"), "USER_PRESENT" (para detectar quando o usuário está ativamente usando o dispositivo) e "QUICKBOOT_POWERON" (para permitir que o código malicioso seja executado após reiniciar o dispositivo).