O ataque massivo contra utilizadores de Android finalmente parou

O grande ataque, tendo afetado mais de 318,000 utilizadores, foi finalmente parado. Numa nota interessante, apenas foram atingidos utilizadores Russos. Nomeadamente, os utilizadores, que tinham definido a língua Russa como a língua predefinida na IU (interface de utilização) nos seus dispositivos móveis. O culpado deste ataque Android foi o trojan bancário Spyend Android. O trojan explorou a vulnerabilidade do navegador Google Chrome dos dispositivos móveis.

O bug explorado estava relacionado com a forma com a qual o Chrome lidava com transferências. O trojan Spyeng estava a ser espalhado através de websites Russos como o RT (Russia Today) e os portais de notícias Meduza entre outros. Estes últimos tinham sido injetados com JavaScript. Para ser mais preciso, eram na verdade os anúncios Google AdSense, que tinham sido injetados com este JS malicioso. O código malicioso a correr nos sites, clicava automaticamente nos anúncios infetados, e, assim, a carga de vírus estava a ser descarregada nos dispositivos móveis da vítima.

O ficheiro executável do Spyeng foi chamado assim (a extensão .apk aqui significa que se trata de ficheiros de aplicações Android):

2GIS.apk

AndroidHDSpeedUp.apk

Android_3D_Accelerate.apk.

Android_update_6.apk

Asphalt_7_Heat.apk

CHEAT.apk

Chrome_update.apk

Cut_the_Rope_2.apk

DrugVokrug.apk

Google_Play.apk

Instagram.apk

Mobogenie.apk

Root_Uninstaller.apk

Skype.apk

SpeedBoosterAndr6.0.apk

Temple_Run.apk

Trial_Xtreme.apk

VKontakte.apk

Viber.apk

WEB-HD-VIDEO-Player.apk

WhatsApp.apk

last-browser-update.apk

minecraftPE.apk

new-android-browser.apk

Установка.apk

É importante mencionar que o número de utilizadores vitimados pode possivelmente ser mais baixo. A razão para isso é que os ficheiros APK precisam de ser abertos de forma a que o trojan possa correr no sistema.

Os pesquisadores de segurança cibernética dos Laboratórios Kaspersky evitaram que este ataque proliferasse ainda mais. Eles notificaram a Google desta vulnerabilidade, que os funcionários libertaram na atualização do Chrome para dispositivos Android. Esta atualização é direcionada ao comportamento de auto-transferência do navegador de dispositivos móveis Android. Assim, o trojan Spyeng é agora incapaz de prosseguir com o ataque. O massacre durou de Agosto a Novembro – cerca de três meses.

Sources: bleepingcomputer.com, securelist.com.