Falso Dubsmash fazia Androids acessarem sites pornôs sem que usuários soubessem

Publicado por em 29 de abril de 2015

dubsmash

Uma versão falsa do popular app Dubsmash foi identificada pela Avast na loja de aplicativos do Android. Chamado de Dubsmash 2, o programa era na verdade um “porn clicker”, que executava um script e fazia com os smartphones navegassem por sites de conteúdo pornográfico sem que os usuários notassem.

Já removido pelo Google, o aplicativo tinha entre 100 mil e 500 mil downloads. Quando baixado e instalado, ele não incluía um ícone de Dubsmash na lista, e sim um similar ao de configurações do Android, chamado de Setting IS. Ao tocar no ícone, o usuário era redirecionado às configurações do aparelho e rodava, sem saber, o app malicioso.

De acordo com o relato da Avast, o “programa enviava uma solicitação HTTP GET a uma URL cifrada”, que mandava de volta uma cadeia de caracteres. Se nela estivesse um “1”, “dois serviços começariam a funcionar: o MyService e o Streaming”, segundo o texto.

O primeiro desses processos era quem fazia toda a “mágica” envolvendo pornografia, que começava com a remoção do ícone do Setting IS. Uma lista de links para sites pornôs e um código de execução em JavaScript eram baixados em seguida, e um dos endereços da seleção era aberto no navegador. Dez segundos depois, o script começava a funcionar, clicando sozinho em outros links dentro da página. O processo começava de novo a cada minuto.

Já o segundo serviço, o Streaming, era menos discreto, mas também rodava automaticamente a cada 60 segundos. “O processo procurava por mudanças no endereço IP ou na data do dispositivo”, segundo a Avast. Se qualquer um deles fosse alterado, um vídeo – cujo endereço também vinha de uma URL criptografada – era executado no app do YouTube.

Pelos resultados das análises, os pesquisadores suspeitam que o app malicioso tenha saído da Turquia. Seu desenvolvedor, por sua vez, devia utilizá-lo para ganhos financeiros a partir de cliques em anúncios nos sites listados, segundo o relatório oficial.

Se você por acaso baixou e instalou esse Dubsmash 2 falsificado (identificado pelo nome de pacote com.table.hockes), basta remover o Settings IS da lista de apps do Android para eliminar a ameaça. E nas próximas vezes que for baixar algo na Play Store, fique atento ao nome dos desenvolvedores para fugir de ciladas.

 

Fonte: Avast



Comentários Fechados