Um malware infectou mais de 100.000 usuários de celulares Android. A informação veio do site BleepingComputer, onde é dito que um aplicativo para Android rouba credenciais do Facebook e foi baixado mais de 100 mil vezes na Play Store.

Hoje (22) um porta-voz do Google disse ao BleepingComputer que o aplicativo chamado 'Craftsart Cartoon Photo Tools', que transforma imagens em renderizações de desenho, foi removido da Play Store, loja de aplicativos do sistema operacional Android. Na semana passada, pesquisadores da empresa de segurança mobile Pradeo relataram que o app possui um trojan chamado "FaceStelar" que funciona exibindo uma tela de login do Facebook e pede que o usuário faça login antes de utilizar o aplicativo.

Capturas de tela do aplicativo malicioso Craftsart Cartoon Photo Tools para Android. Fonte: bleepingcomputer
Capturas de tela do aplicativo malicioso "Craftsart Cartoon Photo Tools" para Android. Fonte: bleepingcomputer

Aplicativo "Craftsart Cartoon Photo Tools" possui um trojan

Quando os usuários inserem suas informações de login do Facebook no app "Craftsart Cartoon Photo Tools", as informações são enviadas para um servidor de comando e controle para o endereço zutuu[.]info, onde os invasores coletam os dados sem a devida autorização. Essa informação foi disponibilizada pelo pesquisador de segurança Michal Rajčan, do Jamf, onde é dito que além de utilizar o servidor para coletar os dados, o app malicioso se conecta ao site www.dozenorms[.]club, local que foi utilizado no passado para promover outros aplicativos maliciosos para Android com o "FaceStelar".

De acordo com a Pradeo, o autor e distribuidor do aplicativo automatizou o processo de reempacotamento e inseriu um código malicioso em uma app legítimo. Com isso, é possível passar pelo procedimento de verificação da Play Store sem ganhar "red flag" (bandeira vermelha).

Código malicioso inserido no app Craftsart Cartoon Photo Tools. Fonte: bleepingcomputer
Código malicioso inserido no app "Craftsart Cartoon Photo Tools". Fonte: bleepingcomputer

Assim que o usuário abre o aplicativo malicioso, não há nenhuma funcionalidade útil sendo exibida, a não ser que ele faça o login na conta do Facebook. Entretanto, ao logar, o app irá disponibilizar uma funcionalidade limitada ao enviar uma imagem específica para o editor online http://color.photofuneditor.com/, que irá aplicar um filtro à imagem. A imagem exibida poderá ser baixada e compartilhada com os amigos.

Devido ao fato de que muitos app exigem desnecessariamente o login em um servidor, ninguém acaba suspeitando de um possível roubo de dados. Com isso, o usuário dificilmente irá desconfiar que suas informações de login no Facebook irão ser acessadas sem autorização.

O que fazer caso o aplicativo já tenha sido instalado?

Caso você tenha o aplicativo "Craftsart Cartoon Photo Tools" instalado em seu celular Android, é recomendado que o desinstale imediatamente. Em seguida, é importante que você altere a senha do seu perfil no Facebook e habilite a autenticação de dois fatores para ter uma proteção adicional.

O que fazer para evitar ser enganado por apps maliciosos e fraudulentos na Play Store

A primeira coisa a ser feita para não ser enganado por aplicativos fraudulentos e maliciosos na Play Store é observar as avaliações mais recentes na página do app. Observe abaixo uma imagem com comentários do aplicativo "Craftsart Cartoon Photo Tools", onde há comentários negativos, gerando uma nota de 1,7 estrelas de 5 possíveis. Muitas análises dizem que o app tem funcionalidade limitada e exige o login no Facebook para utilizá-lo.

Avaliações dadas pelos usuários do app Craftsart Cartoon Photo Tools no Android. Fonte: bleepingcomputer
Avaliações dadas pelos usuários do app "Craftsart Cartoon Photo Tools" no Android. Fonte: bleepingcomputer

O segundo ponto a se observar é o nome do desenvolvedor. No caso do "Craftsart Cartoon Photo Tools", diz que é o 'Google Commerce Ltd', ou seja, que é desenvolvido pelo Google. Entretanto, na descrição há um e-mail do Gmail de uma pessoa aleatória, além de uma bandeira dizendo que o app é inapropriado.

Ao tentar visitar a página do desenvolvedor, a política de privacidade do projeto aponta um e-mail diferente do exibido na Play Store. Além disso, quando enviamos um e-mail ao desenvolvedor, o endereço simplesmente deu como inexistente.