Malwarebytes explica como o Barcode Scanner se tornou malware

No início deste mês a Malwarebytes, empresa de segurança especializada na análise e combate a malware, divulgou uma análise do caso do app Barcode Scanner para Android. Após anos como um aplicativo legítimo e bem-sucedido na Play Store, com mais de 10 milhões de instalações, ele subitamente se tornou portador de malware, inundando seus usuários com propaganda.

Em sua análise inicial a Malwarebytes acusou a Lavabird LTD, na época listada como desenvolvedora do app, como a culpada pela infecção. Mas ao que parece a história é bem mais complexa e envolve uma empresa misteriosa conhecida apenas como “The Space Team”.

A Lavabird esclareceu o ocorrido em um e-mail à Malwarebytes: a empresa “compra e vende apps”, e atuou como intermediária em uma transação entre os desenvolvedores originais do Barcode Scanner e a Space Team.

Como tal, a propriedade do app no Google Play e as chaves para assinatura foram transferidas à Lavabird. A empresa cedeu à Space Team acesso ao console do aplicativo no Google Play, para que pudessem verificar a validade da chave e senha associadas.

Além disso, permitiu que a Space Team atualizasse o app com seu código de análise (Analytics), para que pudessem verificar algumas métricas de uso do app. Foi durante esta atualização inicial que a Space Team “infectou” o Barcode Scanner com o código responsável pela exibição de anúncios, basicamente transformando-o em um veículo para adware. 

Quando a propriedade do Barcode Scanner foi transferida à Space Team, ele já havia sido modificado para entregar malware. Imagem: Malwarebytes

A propriedade do Barcode Scanner foi transferida para a Space Team após a transação ser concluída, mas como a infecção inicial ocorreu enquanto ele estava no nome da Lavabird, esta acabou sendo culpada pela Malwarebytes.

Analisando o histórico do app e documentação fornecida, a Malwarebytes confirmou a versão da Lavabird. Ainda assim, a empresa foi omissa ao não verificar a idoneidade da Space Team antes de permitir seu acesso ao app: a “empresa” tinha apenas um outro app em seu nome, e sua conta de desenvolvedor foi aberta em janeiro deste ano.

A Lavabird também admite que não verificou o código da atualização feita pela Space Team antes de permitir sua publicação, algo pelo qual diz estar “profundamente arrependida”.

“Em minha análise, parece que o que aconteceu foi um engenhoso ataque de engenharia social em que desenvolvedores de malware compraram um app já popular e o exploraram”, disse Nathan Collier, pesquisador da Malwarebytes.

“Ao fazer isto, eles conseguiram transformar um app com 10 milhões de instalações em um malware. Mesmo se uma fração destes usuários atualizá-lo, isso significa um monte de infecções. E ao ser capaz de modificar o código do app antes de concluir a compra e transferência, eles conseguiram comprovar que seu malware não seria detectado pelo Google Play usando a conta de outra empresa”, afirmou.

Fonte: Malwarebytes

Esta post foi modificado pela última vez em 22 de fevereiro de 2021 11:25

Compartilhar
Deixe seu comentário
Publicado por
Rafael Rigues