titulo

titulo

Propagandas maliciosas em sites respeitáveis de notícias automaticamente baixaram  uma falsa atualização de pacotes Android no dispositivo da vítima que iria infectar o usuário com um trojan bancário especialmente desenvolvido para visar clientes de bancos que residem na França, Alemanha e Rússia. A atividade maliciosa aponta para um servidor na Estônia.

Esse novo malware descoberto pela Intel Security Mobile Research foi chamado de Android/Dmisk, e foi inicialmente detectado no final de abril, mas após uma investigação extensiva, os pesquisadores encontraram pistas em redes sociais que revelaram a existência de uma campanha de malware massiva desde janeiro de 2016. O malware se esconde como uma atualização oficial do Android.

Os especialista da Intel Security dizem que os usuários perceberam que quando estavam acessando certos sites, os navegadores deles silenciosamente faziam o download do arquivo Android_Update_6.apk no dispositivo deles. As propagandas maliciosas foram encontradas nas versões mobile de sites respeitáveis como o Slashdot e o Android Police, mas também em sites de notícias locais da França (20 Minutes) e da Alemanha (SPON). Mas os sites de notícias locais não são culpados pela distribuição do malware. Na maioria dos casos, as propagandas exibidas nesses tipos de sites são em maioria controladas por redes de propaganda, com o mínimo ou insignificante quantidade de ação do site em si.

Os usuários que foram enganados a secretamente baixar o arquivo APK, baseado no seu nome, foram convencidos a acreditar que era uma atualização do Android 6.0 Marshmallow. Ao executar o arquivo APK, um novo aplicativo chamado Android Update 6 é instalado. Na realidade, após aberto esse arquivo, o malware Dmisk é lançado em execução. Assim como outros malwares financeiros de Android, o Dmisk coleta dados sobre o dispositivo para que ele possa registra-lo no seu servidor de comando e controle (C&C), e então começar a escutar as mensagens SMS recebidas.

Devido ao aplicativo estar compactado e altamente ofuscado, os pesquisadores da Intel Security não foram capazes de crackear o completo modo de operação do malware, mas o comportamento é regularmente encontrado em trojans bancários de Android. Em alguns casos, os pesquisadores também perceberam que o Dmisk realiza o fraude de clique, ao secretamente tomando o controle do dispositivo e clicando em propagandas para o ganho financeiro do criminoso.

Os suspeitas dos pesquisadores de segurança foram confirmadas quando eles viram o malware incluía filtros para observar por mensagens SMS recebidas de instituições financeiras conhecidas da França, Alemanha e Rússia. Durante a pesquisa, a Intel Security descobriu versões anteriores do malware na loja oficial da Play Store em outubro de 2015. O Google removeu prontamente os aplicativos infectados. A intel rastreou a distribuição desse malware para outras lojas de aplicativos de terceiros, como a ApkPure.

Os pesquisadores dizem que a campanha do malware Dmisk ainda está ativa, e especialmente para usuário localizados na França e na Alemanha. A maioria das atividades recentes foi rastreada a servidores de comando e controle localizados na Estônia. A intel diz que contatou as autoridades locais e o provedor de serviço para que os servidores sejam desativados, informa o site softpedia.com.

fonte:

http://news.softpedia.com/news/ads-on-news-sites-pushed-malware-infected-android-upgrade-package-503694.shtml
https://blogs.mcafee.com/mcafee-labs/fake-android-update-delivers-sms-click-fraud-europe/
http://i1-news.softpedia-static.com/images/fitted/340×180/ads-on-news-sites-pushed-malware-infected-android-upgrade-package.jpg