Meio Bit » Baú » Mobile » Falsa correção de segurança para Android é na verdade um novo trojan

Falsa correção de segurança para Android é na verdade um novo trojan

Mais detalhes sobre o DroidDream e sobre o novo malware que se espalha disfarçado de proteção contra ele.

11/03/2011 às 9:36

evil_android Sabe aquela cena clichê de filmes de terror que se dá quando a mocinha, correndo desesperada pela floresta, encontra uma alma caridosa para ajudá-la e depois descobre que se trata de um parceiro do canibal tarado que a perseguia? Foi mais ou menos isso que aconteceu agora com o caso do malware conhecido como DroidDream.

Para ilustrar melhor a cena, voltemos à semana passada, quando eu estava lendo mais detalhes sobre o caso das dezenas de apps com malware que foram inseridos no Market revelando nele uma perigosa vulnerabilidade. Naquela ocasião, li um texto no Android Police onde se comentava que o DroidDream era assustador, mas que algo muito pior ainda estaria, provavelmente, por vir.

De lá para cá, o time de segurança da Google adotou várias medidas para remediar a situação, corrigindo problemas no Market e administrando remotamente os aparelhos afetados para remover o malware (sim, eles podem fazer isso). Uma das últimas medidas foi a disponibilização de um app chamado Android Market Security Tool que, segundo a empresa, não se destina a ser instalado e utilizado por qualquer um. Eles pretendem promover a instalação do aplicativo apenas entre os usuários que, sabidamente, tiveram contato com o malware, conforme os registros do sistema.

O problema é que, diante do clima de medo que foi instaurado, a maior parte dos usuários que viesse a esbarrar com um software desse tipo acabaria instalando com a esperança de usá-lo para precaução. É aí que entra em cena uma nova ameaça. Um arquivo .APK maliciosamente denominado "Android Market Security Tool March 2011" começou a ser disseminado pela internet - não no próprio Android Market - com a promessa de funcionar como proteção, mas se trata na verdade de um novo malware.

Clima de terror e sensacionalismo à parte, várias proteções contra o dito malware têm surgido. Alguns métodos legítimos para barrar a infecção foram comentados e trabalhados nos fóruns como o XDA Developers. O mais comum deles consiste apenas na criação de um arquivo em branco denominado "profile" na pasta "system/bin" do sistema operacional. O conhecido malware tenta criar esse arquivo logo no início da infecção e, caso ele já exista, o processo falha. Nada impede que versões mais evoluídas da praga consigam driblar essa defesa.

O problema do caso do DroidDream é que qualquer um poderia ser infectado. Tenho amigos que costumam argumentar, numa clara postura de "elitismo nerd", que essas ameaças cumprem na internet a função de uma pressão seletiva, no sentido darwinista da coisa. Acham eles que todo e qualquer vírus ou malware só pega mesmo trouxas. Acontece que, se aplicativos outrora legítimos foram retirados do market e trocados por versões infectadas, qualquer um que possuísse aqueles apps instalados poderia, em tese, receber a infecção. Até mesmo um update recomendado para um dos ditos programas poderia, teoricamente, trazer a praga. Ninguém estava a salvo.

Apesar de, olhando a lista, considerar que nunca fiz uso de qualquer um dos aplicativos afetados, estive pensando numa maneira de checar a possível presença do tal DroidDream no meu sistema. Como tenho acesso root vigiado pelo Superuser, sei que o programa mantém um log de todos os apps que usaram funções de super usuário. Com base nisso, acredito que examinar o log do Superuser em busca de alguma anomalia seja uma forma eficaz de checar a situação. Na verdade, ao vigiar o acesso root, além manter log desses acessos, o SU também mostra um pop up pedindo autorização cada vez que um novo software requer acesso privilegiado, mas é provável que um malware competente possa saltar isso. De qualquer forma, o mal maior temido pelo pessoal do Android Police, que eu saiba, ainda não veio, então é bom ficarmos ligados.

superuserlog

Leia mais sobre: , , .

relacionados


Comentários