Uma variante do malware Tekya foi descoberta pela Trend Micro e continua atacando aplicativos do Google Play. A primeira versão do malware foi encontrada pela CheckPoint em março, e era utilizada para realizar fraudes em anúncios. Desde então, esses aplicativos foram removidos da loja, mas cinco apps maliciosos carregam a variante recentemente descoberta. Os aplicativos já foram removidos, mas a variante do Tekya compartilha muitas semelhanças com a versão encontrada anteriormente.
Uma das semelhanças é que a criptografia permanece essencialmente idêntica; os mesmos algoritmos e chaves são usados nas duas versões, diz a Trend Micro. Mas nessa variante, o malware registra um receptor que responde às ações "com.tenjin.RECEIVE" ou "android.intent.action.BOOT_COMPLETED". A última ação dá ao malware a capacidade de ativar após a inicialização do dispositivo.
Código de criptografia da nova versão do Tekya. (Fonte: Trend Micro)
O Tekya teria como alvo até 11 redes de publicidade, incluindo Admob, Facebook e Unity. Os anúncios dessas redes seriam exibidos e os movimentos de toque do usuário copiados pelo InputManager. Assim, o Tekya tenta convencer as vítimas que esses anúncios foram abertos por outros aplicativos, alterando seu ícone e rótulo. Vários desses aplicativos no Google Play estavam infectados, mas o Google os removeu enquanto a pesquisa da Trend Micro estava em andamento. A companhia de segurança continua procurando ameaças semelhantes que possam surgir por aí. Veja a análise completa do malware, em inglês, aqui.
Edited by Bruna Chieco
Recommended Comments
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.