Adware agressivo prometia coisas gratuitas para usuários do Android apenas para permanecerem instalados
Pesquisadores de segurança da White Ops descobriram e rastrearam um vasto botnet de fraude publicitária que usava dezenas de aplicativos Android fingindo oferecer aos usuários itens gratuitos para manter o aplicativo instalado por pelo menos duas semanas.
- Aplicativos de adware agressivos invadem dezenas de milhares de dispositivos
- Os operadores desenvolveram os aplicativos para serem executados sem obstáculos em segundo plano
- O Google removeu todos os aplicativos falsos da Play Store
No pico de sua atividade, o botnet, denominado TERRACOTTA, tinha mais de 65.000 dispositivos infectados, falsificou mais de 5.000 aplicativos e gerou cerca de 2 bilhões de solicitações de lance fraudulentas. Esse adware agressivo geralmente busca uma coisa – gerar o máximo possível de cliques falsos e criar a impressão de que os usuários estão clicando ativamente nos anúncios.
O velho ditado, “Se algo parece bom demais para ser verdade, provavelmente é”, resume a oferta do botnet TERRACOTTA. Os aplicativos ofereciam sapatos, cupons ou ingressos para shows aos usuários, e as pessoas não precisavam pagar um centavo. Se alguém distribuísse sapatos de graça em uma esquina, todos suspeitariam imediatamente. Por que não sentir a mesma suspeita quando a oferta vem de um aplicativo Android aleatório?
“O malware TERRACOTTA ofereceu aos usuários do Android produtos gratuitos em troca do download do aplicativo – incluindo sapatos, cupons e ingressos para shows – que os usuários nunca receberam”, disseram os pesquisadores . “Depois que o aplicativo foi instalado e o malware ativado, o malware usou o dispositivo para gerar impressões de anúncios não humanos que pretendiam ser anúncios exibidos em aplicativos Android legítimos.”
Os cibercriminosos escreveram os aplicativos usando a estrutura de desenvolvimento de plataforma cruzada React Native, que não levantou nenhum sinalizador. Por outro lado, os aplicativos exigiam acesso a permissões poderosas, WAKE_LOCK e FOREGROUND_SERVICE, que permitiriam que os aplicativos funcionassem sem interrupções e invisíveis em segundo plano.
O Google foi rápido em remover todos os aplicativos TERRACOTTA, e seus operadores usaram a estrutura React Native para todos eles. Curiosamente, a simples remoção do software da loja oficial não significa que ele foi removido dos dispositivos. Muitos deles permanecem ativos, embora não consigam mais gerar recursos para suas operadoras.
