.
em resumo Um quarteto de aplicativos Android carregados de malware de um único desenvolvedor foi pego com código malicioso mais de uma vez, mas os aplicativos infectados permanecem no Google Play e foram baixados coletivamente mais de um milhão de vezes.
Os aplicativos vêm do desenvolvedor Mobile apps Group e estão infectados com o Trojan conhecido como HiddenAds, disse loja de segurança Malwarebytes. Ele analisou um dos produtos do Mobile Apps Group, o Bluetooth Auto Connect, que aparentemente faz o que o nome sugere, mas também muito mais.
Uma corrida de mais de dez meses com código malicioso no Google Play? Talvez seja hora de dizer três avisos e você está fora do Grupo de aplicativos móveis
De acordo com o Malwarebytes, uma vez instalado o aplicativo espera alguns dias para começar a se comportar de forma maliciosa. Assim que entra em ação, o aplicativo começa a abrir sites de phishing no Chrome que vão desde spam inofensivo de pagamento por clique até sites que instruem os usuários a baixar atualizações ou agir porque o dispositivo foi infectado.
“Como resultado, desbloquear seu telefone após várias horas significa fechar várias guias”, disse Nathan Collier, da Malwarebytes.
Curiosamente, o malware nos .APKs do Mobile apps Group foi removido duas vezes – em janeiro de 2021 e novamente no mês seguinte – quando o desenvolvedor carregou versões limpas do Bluetooth Auto Connect antes de adicionar o malware novamente em uma atualização futura.
Collier acredita que o desenvolvedor provavelmente foi pego pelo Google, levando aos uploads limpos. Apesar disso, ele observa que a última versão limpa foi publicada em 21 de outubro de 2021, com uma nova versão infestada de malware adicionada ao Google Play em dezembro do ano passado.
“Agora, na versão 5.7, esse código malicioso permanece até hoje. Uma corrida de mais de dez meses com código malicioso no Google Play. Talvez seja hora de dizer três avisos e você está fora do Mobile apps Group”, disse Collier.
O Google Play tem um histórico de hospedagem de aplicativos maliciosos, com talvez um dos casos mais flagrantes vindo à tona em julho passado, quando 60 aplicativos instalados por mais de 3,3 milhões de usuários foram retirados devido a malware.
Essa nem é a primeira vez o Trojan HiddenAds foi encontrado no Google Play: foi visto na loja em 2020, enquanto em 2021 um aplicativo popular de leitura de código de barras instalado em mais de 10 milhões de dispositivos foi atualizado para adicionar HiddenAds (e também pesquisado por Collier).
O Google também foi acusado de falha em policiar malware pré-carregado em dispositivos Android baratosque mais de 50 grupos de advocacia chamaram a empresa em 2020.
Ataque à cadeia de suprimentos de software atinge mídia dos EUA
A Proofpoint Threat Research está alertando que mais de 250 sites de jornais locais e regionais dos EUA estão acessando e fornecendo códigos maliciosos aos leitores após um ataque à cadeia de fornecimento de software.
Acredita-se que o grupo responsável seja o TA569, ou SocGholish, disse a Proofpoint em um Tópico do Twitter. O grupo supostamente comprometeu uma empresa de mídia não identificada que veicula anúncios e vídeos em JavaScript para sites de notícias em todo o país “modificando a base de código desse JS benigno”.
A Proofpoint rastreia o TA569 há vários anos e em 2020 avisou que estava realizando ataques semelhantes por meio de injeções de HTML e comprometimentos de CMS. De acordo com a Proofpoint, o objetivo final é uma infecção com Malware SocGholishque se disfarça como um arquivo de atualização para Firefox e outros navegadores da web.
Apenas as empresas de mídia infectadas que veiculam os anúncios têm a contagem real mostrando o quão amplo é o dano, disse a Proofpoint, acrescentando que sites comprometidos foram encontrados atendendo Boston, Nova York, Chicago, Washington, DC e outras áreas metropolitanas.
A Proofpoint disse que o TA569 remove e adiciona regularmente novos códigos maliciosos, “portanto, a presença da carga útil e do conteúdo malicioso pode variar de hora em hora”, tornando este também difícil de detectar.
Quase metade dos funcionários do governo dos EUA usa dispositivos móveis desatualizados
Pouco menos da metade dos dispositivos móveis usados por funcionários públicos dos EUA em todos os níveis de governo estão executando sistemas operacionais desatualizados, de acordo com um relatório que examina a telemetria de mais de 200 milhões de dispositivos.
De acordo com a empresa de segurança Tenha cuidadoisso inclui funcionários federais, estaduais e locais dos EUA que usam versões desatualizadas do Android e iOS em seus dispositivos, com números muito piores relatados para o Android.
Dez meses após o lançamento do Android 12, apenas 67% dos dispositivos federais e 54% dos dispositivos estaduais/locais estavam executando a versão atualizada. O Android 11 estava em aproximadamente 15% dos dispositivos em todos os níveis governamentais, enquanto mais de 10% dos dispositivos estaduais e locais ainda estavam executando o Android 9.
O único grande grupo de dispositivos iOS que não executavam o iOS 15 (a versão mais recente durante o período de dados) eram dispositivos estaduais e locais, cerca de um quarto dos quais ainda executavam o iOS 14 dez meses após o lançamento do iOS 15.
Mas os cibercriminosos empenhados em acessar dispositivos governamentais estão se afastando do malware e adotando a simples coleta de credenciais, o que significa que esses sistemas operacionais desatualizados podem não ser os culpados pelos agentes de ameaças que conquistam uma posição nas agências governamentais dos EUA.
Cerca de 50 por cento dos ataques de phishing a funcionários do governo tentaram roubar credenciais, um aumento de cerca de um terço no ano anterior, disse Lookout. Uma boa notícia do relatório é que os funcionários do governo parecem estar aprendendo a lição com o phishing.
“Bem mais de 50 por cento dos funcionários federais, estaduais e locais que receberam uma notificação de que clicaram em um link de phishing não clicaram em um link de phishing móvel subsequente.” ®
.
