Malware Coringa retorna ao Google Play para atingir milhares de dispositivos Android. Entenda - Programadores Brasil
Segurança Digital

Malware Coringa retorna ao Google Play para atingir milhares de dispositivos Android. Entenda

2 Mins read

O malware Joker, vulgo Coringa, tem costume de repetir o mesmo modus operandi. Ele chega disfarçado ao Google Play como se fosse um app de personalização de teclado, wallpaper, editor de foto ou um minijogo. Quando o Coringa consegue ser detectado, então os aplicativos suspeitos são removidos. Depois disso, o vírus vilão faz alguns ajustes e passa pelas verificações automáticas novamente.

Imagem de: Vírus Coringa volta ao Google Play e ameaça milhões de dispositivos
Malware Coringa retorna ao Google Play para atingir milhares de dispositivos Android. (Imagem: Shutterstock/Reprodução)

A empresa de segurança em nuvem, Zscaler, publicou em seu site que o malware sempre dá um jeito de voltar à loja oficial do Google, e até em outras de grande porte, como a da Huawei. Segundo os pesquisadores, o Coringa foi projetado para roubar SMS, lista de contatos e até inscrever suas vítimas em serviços de protocolo de apps sem fio (WAP).

Veja também: [+] Pacote Python Faixa preta para iniciantes.

Portanto, o reincidente malware Coringa já está na mira da equipe do Zscaler faz tempo, mas a empresa percebeu recentemente que houve uma enorme quantidade de uploads no Google Play. Ao ser confirmada a presença do vírus, os especialistas em segurança do Google Android foram alertados e removeram então mais de uma dúzia de apps infectados.

Como o malware Coringa faz seus ataques?

Os cibercriminosos por trás do malware Coringa utilizam uma técnica que eles chamam de versioning. (Imagem: Warner Bros./Divulgação)

Veja também: [+] Pacote Python Faixa preta para iniciantes.

Os cibercriminosos por trás do Coringa utilizam uma técnica que eles chamam de versioning. Ou seja, eles lançam versões que parecem inofensivas do app para passar pelos filtros de segurança do Google. Mas, depois de conquistar a confiança dos usuários, o Coringa então adota três diferentes táticas para se infiltrar na loja. 

A primeira estratégia, portanto, consiste na incorporação direta da URL do servidor de comando e controle (C2) no próprio código. Mas, para que ele não seja lido no processo de engenharia reversa, os cibercriminosos ofuscam o string, o que torna o bytecode praticamente ilegível.

Veja também: [+] Pacote Python Faixa preta para iniciantes.

Já na segunda tática é necessário fazer o download de uma carga de malware de segundo estágio. Ele então codifica as URLs com um padrão de criptografia avançada (AES), o que as torna igualmente indetectáveis. Por fim, o código malicioso emprega o tradicional algoritmo Data Encrypted Standard (DES) na carga final, que transforma a string em um bloco de texto cifrado.


Deixe o seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *