Symantec: mais de 80 apps na loja da Microsoft exibem conteúdo inapropriado

A Symantec descobriu 81 aplicativos potencialmente indesejáveis (APIs) na Loja Microsoft, alguns deles exibem imagens pornográficas e conteúdo de jogos de azar. A maioria desses aplicativos continua disponível para download na loja. Os apps, que incluem várias categorias diferentes, como esportes, jogos, notícias, dicas, foram publicados por mais de 30 desenvolvedores diferentes.

Aplicativos falsos

Para enganar os usuários, os aplicativos usam nomes familiares de marcas populares em seus títulos, como Wix Updates Application, Antivirus Avira App, Norton Antivirus Updates App, McAfee Antivirus Updates News, Tinder Dating Updates, Tips and Games e Grindr Updates.

Porém, esses aplicativos não têm relação com as marcas ou seus aplicativos originais. Na verdade, alguns deles exibem conteúdo como imagens pornográficas e anúncios de sites de jogos de azar. Outros apenas redirecionam os usuários para o site legítimo da marca que alegam representar, mas todos têm a capacidade de exibir qualquer conteúdo que queiram no futuro.

Conteúdo questionável

Todos esses aplicativos exibem seu conteúdo desagradável no momento da inicialização (veja exemplos nas Figuras 3 e 4).

Ao mesmo tempo, nenhum dos aplicativos declara esse comportamento na seção de descrição na página do aplicativo na loja. De fato, todos os aplicativos exibem capturas de tela inocentes fornecidas pelos desenvolvedores, que não têm qualquer relação com as funcionalidades reais dos aplicativos.

Servidor compartilhado

A Symantec analisou as amostras e descobriu que todas elas usam http://myservicessapps[DOT]com/firebase/[PHP Name]?app=[APP ID] para obter a configuração do aplicativo atual, em que a ferramenta pode interpretar o estilo e o URL especificado conforme o valor “red_ph” na configuração. Por exemplo, no aplicativo Buy Bitcoin, o aplicativo chama http://myservicessapps[DOT]com/firebase/win_new_cl.php?app=2504-buy-bitcoin durante a inicialização para recuperar a configuração, e o valor “red_ph” orienta o comportamento do aplicativo. Essa tática permite que os aplicativos exibam qualquer conteúdo escolhido pelos desenvolvedores, então mesmo os aplicativos que no momento redirecionam para sites legítimos podem exibir conteúdo duvidoso no futuro.

Potencial de riscos mais sérios

Como o aplicativo é totalmente controlado pelo servidor, o desenvolvedor pode injetar qualquer código malicioso que desejar. Isso poderia ser, por exemplo, scripts de mineração de moedas, permitindo que os desenvolvedores lucrem às custas dos usuários que instalaram seus aplicativos. Os desenvolvedores também podem exibir sites de phishing nos aplicativos. Na verdade, alguns dos aplicativos já exibem conteúdo suspeito de phishing que solicita informações de cartão de crédito (Figura 7).

Estrutura de arquivos similar

Ao explorar os pacotes de todos os 81 aplicativos, a Symantec descobriu que o conteúdo de todos eles parece muito similar (Figura 8). Combinado com o fato de que eles compartilham o mesmo servidor, isso torna altamente provável que esses aplicativos sejam publicados pelo mesmo grupo de desenvolvedores.

A Microsoft foi notificada sobre a descoberta e disse que investigaria o caso. Vários dos aplicativos não estão mais disponíveis na Loja Microsoft.

Para se proteger contra malware e outros riscos, é necessário:

• Manter o software atualizado;
• Não baixar aplicativos de sites desconhecidos;
• Instalar apenas aplicativos de fontes confiáveis;
• Instalar um aplicativo de segurança adequado para proteger o dispositivo e os dados;
• Fazer backups frequentes de dados importantes.

Além disso, as seguintes dicas podem ajudar a evitar o download de APIs:

• Conferir o nome do aplicativo antes de fazer o download. Se for um aplicativo popular, fazer uma pesquisa online e certificar-se de que o nome corresponde aos resultados. Os autores de aplicativos falsos costumam adicionar palavras aos nomes dos aplicativos legítimos, como “Updates” ou “Atualizações”, o que pode ser uma pista de que algo está errado;
• Checar o nome do desenvolvedor, que pode ser encontrado na página do aplicativo na loja. Pesquisar o desenvolvedor na Internet, pois pode haver usuários que já tiveram experiências com os aplicativos dele, positivas ou negativas;
• Conferir as resenhas dos aplicativos. Embora as análises falsas sejam comuns, elas costumam ser curtas e genéricas. Também pode haver resenhas legítimas de usuários que descobriram que o aplicativo não é o que aparenta ser;
• Procurar algumas pistas visuais de que o aplicativo não é legítimo, como erros de ortografia e layouts ou interfaces de usuário que não parecem profissionais.