Por Paulo Alves, para o TechTudo


Um novo malware conhecido como Agent Smith, descoberto nesta quarta-feira (10), infecta usuários por meio de clones de apps como WhatsApp, MX Player e Truecaller e substitui os programas legítimos do Android por versões comprometidas com adware. Segundo especialistas da firma de segurança Check Point, que revelaram a ameaça, o ataque já atingiu cerca de 25 milhões de celulares rodando Android 5 (Lollipop) ou 6 (Marshmallow) na Índia, Paquistão, Bangladesh e outros países asiáticos.

O código malicioso explora a vulnerabilidade Janus, descoberta no fim de 2017, para que os hackers faturem com a visualização da publicidade. A falha não afeta smartphones com Android 7 (Nougat) ou versões mais recentes do sistema do Google.

Malware troca apps, como WhatsApp, por versões falsas e atinge 25 milhões de celulares — Foto: Anna Kellen Bull/TechTudo Malware troca apps, como WhatsApp, por versões falsas e atinge 25 milhões de celulares — Foto: Anna Kellen Bull/TechTudo

Malware troca apps, como WhatsApp, por versões falsas e atinge 25 milhões de celulares — Foto: Anna Kellen Bull/TechTudo

Quer comprar celular, TV e outros produtos com desconto? Conheça o Compare TechTudo

O malware é distribuído por lojas alternativas de apps Android. Uma delas é a 9apps, ligada à Alibaba, gigante chinesa do e-commerce. Segundo a Check Point, a ameaça se disfarça como APKs de aplicativos populares para estimular a instalação. Para baixar esse tipo de programa, o usuário precisa, antes, remover manualmente as proteções do Android.

Uma vez no celular, o aplicativo abre caminho para a instalação do malware Agent Smith, disfarçado de uma suposta atualização do Google. Ele, por sua vez, analisa os demais apps instalados no aparelho e faz o download de uma lista de clones com modificações no código. Após o download em lote, o malware explora a vulnerabilidade Janus para substituir os apps legítimos sem levantar suspeitas.

Na sequência, os apps falsos entram em contato com redes de propagandas e começam a exibir banners de anúncios no telefone, e os hackers faturam com a visualização da publicidade. O APK que infiltra o malware no telefone fica com o ícone oculto, dificultando a identificação da raiz do problema. O levantamento da Check Point informa que, em média, cada vítima tem 112 apps trocados por versões falsificadas.

Como remover vírus em um celular Android

Como remover vírus em um celular Android

Até o momento, as funções do malware têm sido exploradas principalmente para obter rendimentos provenientes de anúncios, mas especialistas alertam que as possibilidades são inúmeras. Em tese, o código poderia falsificar também aplicativos de banco, desde que o original já esteja instalado em um celular com Android desatualizado.

Outra preocupação está relacionada à distribuição do ataque. Embora o fluxo de infecções tenha origem em lojas alternativas do Android, os especialistas em segurança chegaram a identificar ao menos 11 apps na Google Play Store que continham porções do código usado pelo Agent Smith. O Google foi avisado e os apps foram removidos da loja.

WhatsApp Plus é vírus ou não? Confira no Fórum do TechTudo.

Mais do TechTudo