Trend Micro alerta: encontrado 1º app malicioso desenvolvido em Kotlin

Aplicativo ANDROIDOS_BKOTKLIND.HRX inscreve os usuários em um serviço de SMS premium

São Paulo, 11 de janeiro de 2018 – Pesquisadores da Trend Micro alertam para novo aplicativo malicioso (detectado pela Trend Micro como ANDROIDOS_BKOTKLIND.HRX) que, aparentemente, é o primeiro desenvolvido em Kotlin, linguagem de programação de código aberto para aplicativos modernos e multiplataforma. As amostras que os especialistas da Trend Micro encontraram no Google Play se passavam pelo aplicativo Swift Cleaner, uma ferramenta utilitária que limpa e otimiza os dispositivos Android.

O aplicativo malicioso, que foi instalado de 1.000 a 5.000 vezes desde que foi escrito, consegue executar um comando remoto, roubar informações, enviar SMS, encaminhar URLs e clicar em fraudes publicitárias. Ele também consegue inscrever os usuários em serviços de assinatura de SMS premium sem sua permissão.

Figura 1. Swift Cleaner, aplicativo malicioso que se passa por um aplicativo de limpeza para Android

Como desenvolver malwares em Kotlin

Em maio de 2017, Google anunciou a Kotlin como uma excelente linguagem para escrever aplicativos para Android. Desde o lançamento da Kotlin, 17% dos projetos do Android Studio começaram a usar a linguagem de programação. Twitter, Pinterest e Netflix estão entre os principais aplicativos em Kotlin.

A linguagem Kotlin foi descrita como concisa, reduzindo drasticamente a quantidade de código de referência; segura, porque evita classes inteiras de erros, como exceções de ponteiro nulo; interoperável para usar bibliotecas existentes para JVM, Android e navegador; e compatível com ferramentas devido à sua capacidade de escolher qualquer Java IDE ou desenvolver a partir da linha de comando.

Seu suporte de ferramentas também é bem completo: o Android Studio 3.0 fornece ferramentas para ajudar usuários com a linguagem Kotlin e também converter todos os arquivos Java ou trechos de código de forma simples: colando o código Java em um arquivo em Kotlin.

No entanto, ainda não se sabe se essas características da linguagem Kotlin podem fazer diferença ao criar malwares.

Figura 2. Estrutura do pacote do aplicativo malicioso desenvolvido em Kotlin

Analise técnica

Ao iniciar o Swift Cleaner, o malware envia as informações do dispositivo da vítima para o servidor remoto e inicia o serviço em segundo plano para obter tarefas do seu servidor remoto de C&C. Quando o dispositivo é infectado pela primeira vez, o malware envia um SMS para um número especificado fornecido pelo seu servidor de C&C.

Figura 3. Aplicativo malicioso coleta e envia informações do dispositivo da vítima via SMS

O malware recebe o comando do SMS e então o servidor remoto encaminha URLs e clica em fraudes publicitárias.

Figura 4. Esquerda: Servidor de C&C envia tarefa via rede. Direita: trecho de código do malware em execução.

Durante sua rotina de clicar em fraudes publicitárias, o malware recebe um comando remoto que executa a tarefa do WAP (Wireless Application Protocol), que é um padrão técnico para acessar informações através de uma rede móvel sem fio. Depois disso, ocorre a injeção do código Javascript malicioso, seguida da substituição de expressões regulares, compostas por diversos caracteres que estabelecem um padrão de busca. Isso permitirá que o agente malicioso analise o código HTML dos anúncios em uma sequência específica de busca. Posteriormente, abre os dados móveis do dispositivo de forma silenciosa, analisa o código base64 da imagem, decifra o CAPTCHA e envia a tarefa concluída para o servidor remoto.

Figura 5. Aplicativo malicioso fazendo o upload da tarefa concluída no servidor de C&C

O malware também pode fazer o upload das informações do provedor de serviços do usuário, juntamente com as informações de login e as imagens de CAPTCHA, para o servidor de C&C. Após o upload, o servidor de C&C processa automaticamente a assinatura do serviço de SMS premium do usuário, que pode fazer a vítima perder dinheiro.

Figura 6. Aplicativo malicioso faz o upload do token que será usado para assinar um serviço de SMS premium

Figura 7. Aplicativo malicioso faz o upload da imagem CAPTCHA usada para assinar um serviço de SMS premium

Proteção

Os usuários devem aproveitar soluções de segurança móvel, como a Trend Micro™ Mobile Security, para bloquear ameaças ainda nas lojas de aplicativos, antes que possam ser instaladas. Os usuários corporativos devem pensar em instalar uma solução como a Trend Micro™ Mobile Security for Enterprise, que inclui administração de dispositivos, proteção de dados, administração de aplicativos, administração de conformidade, provisionamento de configurações e outros recursos para que os empregadores possam equilibrar privacidade e segurança com a maior flexibilidade e produtividade dos programas de BYOD.

O Mobile App Reputation Service (MARS) da Trend Micro abrange ameaças de Android e iOS com tecnologia líder de machine learning e sandbox, protegendo os usuários contra malwares, zero days e exploits conhecidas, vazamentos de privacidade e vulnerabilidade de aplicativos.

A Trend Micro divulgou esse problema de segurança para a Google, que verificou que o Google Play Protect consegue proteger usuários contra essa família de malwares.

Sobre a Trend Micro

A Trend Micro Incorporated, líder global em soluções de segurança cibernética, ajuda a proporcionar um mundo seguro para a troca de informação digital. Nossas soluções inovadoras para os consumidores, empresas e governos fornecem segurança em camadas para datacenters, ambientes em nuvem, redes e terminais.

Otimizadas para os principais ambientes, incluindo a Amazon Web Services, Microsoft®, VMware® e outros mais, nossas soluções permitem que as organizações automatizem a proteção de informações valiosas contra as ameaças atuais.

Todos os nossos produtos trabalham em conjunto para facilitar o compartilhamento de inteligência de ameaças e fornecimento de uma defesa contra ameaças conectada com visibilidade e controle centralizados, permitindo uma melhor proteção melhor e mais rápida.

Dentre os clientes Trend Micro, estão 45 dos 50 principais da lista top 50 Fortune ® Global 500 companies e 100% das 10 maiores empresas globais dos setores automotivo, bancário de telecomunicações e petróleo.

Com mais de 5.000 funcionários em mais de 50 países e a mais avançada inteligência de ameaças globais do mundo, a Trend Micro permite que as organizações garantam a sua jornada para a nuvem. Para mais informações, visite www.trendmicro.com.

Informações sobre a Trend Micro para a imprensa:

RMA Comunicação

Cecília Ferrarezzi
(cecilia.ferrarezzi@rmacomunicacao.com.br)
(11) 2244-5967

Sofia Lebrón
(sofia.lebron@agenciarma.com.br)
(11) 2244-5912