Estes apps se disfarçam de mensageiros populares para roubar seus dados

A Play Store do Google, infelizmente, ainda sofre com apps que fingem ser outros aplicativos no intuito de enganar você a baixá-los. Em um novo caso do tipo, a empresa de Mountain View afirma ter removido o “Signal Plus Messenger” e o “FlyGram”, que afirmavam oferecer os mesmos serviços do Signal e do Telegram.

Ambos os apps, segundo relatório da ESET, foram correlacionados à família “BadBazaar” de malwares móveis. Essencialmente, eles eram capazes de monitorar seus dados e roubá-los ou copiá-los para seus operadores, que poderiam usar essas informações para fins problemáticos. Ambos também podiam ser encontrados na Galaxy Store, a loja de apps para dispositivos da Samsung.

Imagem: rafapress/Shutterstock

Segundo a ESET, ambos os apps falsos tinham por funcionamento o monitoramento das comunicações de seu dispositivo, criando um link que conectava do aparelho – com o aplicativo falso instalado – ao Signal (verdadeiro) instalado no smartphone do operador/hacker.

Felizmente, o Google já confirmou a remoção de ambos os aplicativos da Play Store, então eles não podem fazer novas vítimas. No entanto, a empresa nada pode fazer por dispositivos que já os tenham instalados, então se for esse o seu caso, a recomendação é uma só: desinstale-os imediatamente.

Malwares da família “BadBazaar” são velhos conhecidos da comunidade de cibersegurança pela sua específica função de roubo de dados. O problema é que esses malwares já foram utilizados para fins políticos: “BadBazaar” é um nome que constantemente aparece em ações de perseguição à população dos uigures na China.

Inclusive, um dos dois falsos apps – o FlyGram – já vinha sendo compartilhado por grupos uigures no Telegram (o verdadeiro), um indício de que a população de que a etnia turcomena havia sido enganada por alguma campanha de divulgação maliciosa do mensageiro fake.

Falsos apps se valem da popularidade de apps verdadeiros

Um problema da maior liberdade do Android em relação ao iOS é justamente o mau uso desse conceito por hackers. Mas a mera inscrição de um app malicioso não é suficiente para que uma campanha de roubo de dados tenha eficácia: eles precisam de um direcionamento forte para enganar usuários.

Nisso, entra a popularidade de apps recentes legítimos: no auge do bitcoin, por exemplo, vários falsos apps se disfarçaram como carteira de gestão de criptomoedas, apenas para roubar seus ganhos nas “granas virtuais” onde você tivesse investimento.

Visto que a comunidade começou a perceber o problema, hackers começaram a expandir suas predileções e, hoje, o que mais tem nas lojas de aplicações são “clones” do ChatGPT ou mensageiros eletrônicos, como fakes do WhatsApp ou do Telegram.

Segundo o relatório da ESET, a ação mais recente viu mais vítimas em regiões como “Austrália, Brasil, Dinamarca, República Democrática do Congo, Alemanha, Hong Kong, Lituânia, Holanda, Polônia, Portugal, Singapura, Espanha, Estados Unidos e Iêmen”.

“Códigos maliciosos da família BadBazaar estavam escondidos em versões ‘trojanizadas’ dos apps Telegram e Signal, os quais oferecem às vítimas uma versão funcional do app que eles tentam imitar, mas com um grau de espionagem ocorrendo em segundo plano. O propósito primário do BadBazaar é extrair informação do dispositivo, como lista de contatos, histórico de chamadas e a listagem de aplicativos instalados, e conduzir essa espionagem em forma de mensagens do Signal ao secretamente estabelecer uma conexão entre o app da vítima e o mensageiro no dispositivo de quem a atacou.” – Lukáš Štefanko, pesquisador da ESET

Não é a primeira vez que o assunto aparece na esfera pública de notícias: no começo de agosto, o Signal – junto de outros mensageiros – também foi usado em “versões fake” para espalhar uma ameaça conhecida como “CoverIM”, capaz de obter permissões aprofundadas de gestão do smartphone e, consequentemente, roubar informações do dispositivo infectado.