A fabricante de antivírus Trend Micro publicou uma análise de uma praga digital que utiliza uma falha do Android para não ser detectada por soluções de segurança, como programas antivírus. A falha, conhecida como "Janus", pode ser usada por aplicativos maliciosos para que eles se passem por aplicativos legítimos.

A falha "Janus" foi corrigida pelo Google no pacote de correções do Android de dezembro, lançado no início do mês. A falha afeta todas as versões do Android desde a 5.1.1 e, portanto, mais de 70% de todos os celulares com Android sofrem do problema. Embora o Google já tenha lançado a atualização, a disponibilidade da mesma para aparelhos de outras marcas depende de cada fabricante.

A vulnerabilidade faz com que o Android interprete incorretamente os arquivos de aplicativo ("APK"), executando um trecho de código sem considerar o mesmo código como parte do próprio APK. Com isso, um aplicativo malicioso pode burlar o recurso de assinatura digital e se passar por outro aplicativo no sistema, instalando a si mesmo como uma atualização não autorizada.

Em funcionamento normal, não é possível que um aplicativo sem a assinatura digital correta substitua outro aplicativo já instalado no celular. Isso ajuda a proteger os dados que pertencem a cada aplicativo.

Também é possível tirar proveito dessa confusão feita pelo sistema para criar um APK de formato inesperado em que o código real fica em um segmento diferente daquele que é normalmente analisado por programas de segurança. Isso faz com que o programa antivírus analise uma parte inofensiva do arquivo e deixe passar o código malicioso. A praga identificada pela Trend Micro usa a vulnerabilidade com essa finalidade.

Segundo a empresa, o arquivo não foi encontrado no Google Play. O aplicativo malicioso tenta se passar por um aplicativo de notícias chamado "World News".

O aplicativo malicioso é bastante simples no funcionamento. O vírus fica em execução o tempo todo -- ele é iniciado automaticamente com o celular -- e aguarda comandos de um servidor de controle para instalar outras pragas digitais no aparelho. Na prática, isso permite que o criador do vírus controle os aparelhos contaminados.

Para evitar pragas como essa, recomenda-se que a instalação das atualizações de segurança assim que elas são disponibilizadas. Também não devem ser instalados aplicativos que não estiverem na loja oficial de aplicativos do sisema; no caso do Android, é o Google Play.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

>>> Fraude com boleto
Fiz uma compra pela Lojas Americanas, recebi o boleto com todos os meus dados, paguei o boleto no mesmo dia e hoje me informaram que era fraude. O que faço?
Sergio Matos

Independentemente da loja em que você fez a compra, golpes com boletos acontecem, em geral, porque o computador está infectado com um vírus que altera o boleto visualizado. Dessa maneira, os demais dados do boleto (como o seu nome e outras informações de cobrança, incluindo o valor e a data de validade) não são alterados.

A mudança do código do boleto faz que o valor seja creditado em outra conta, não a da loja onde você fez a compra. Sendo assim, a loja nunca recebeu o dinheiro e não tem como fazer nada a respeito. Só quem pode ajudar você são os bancos envolvidos no pagamento, mas mesmo assim a chance de ser ressarcido é baixa.

Existe ainda outro tipo de golpe com boleto em que os criminosos montam um site falso ou oferta falsa e depois falsificam os e-mails do site para enviar um boleto fraudulento sem nenhuma relação com a loja.

O que você deve fazer nesse caso é procurar a polícia para receber orientações, falar com os bancos (o banco usado para o pagamento e o banco que recebeu o dinheiro) e, dependendo da quantia envolvida, procurar um advogado.

>>> Espionagem de quem está online
Gostaria de saber se há a possibilidade de saber quem olha quando estou online.
Quando entro em um contato, a tela fica preta rapidamente e volta...é o caso da pessoa fazer uma captura de tela de quem olhou se estava online?
Ana

Ana, em primeiro lugar, no WhatsApp, todas as pessoas (menos as bloqueadas) sempre podem saber quando você está online. É uma característica do aplicativo e você não tem controle sobre quem pode ver essa informação (exceto se bloquear o contato).

Sobre a tela preta ao abrir um contato, se houver mesmo um programa espião no seu celular realizando capturas de tela, ele seria um programa de má qualidade -- já que um bom programa de espionagem não deveria causar nenhum comportamento perceptível como esse.

Em outras palavras, existe a chance de que esse comportamento que você observa esteja sendo causado por algum outro problema.

Programas de espionagem costumam ser instalados por pessoas próximas, inclusive porque eles em geral exigem acesso físico ao celular, ou seja, a pessoa (ou alguém a mando dela) precisa ter o seu celular em mãos para fazer essa instalação. Outra possibilidade é o recebimento de uma mensagem que tenta convencê-la a instalar um aplicativo. Se você recebeu uma mensagem dessas ou suspeita de alguém em seu convívio, nesse caso existe alguma validade na suspeita de que há um programa espião.

Sendo esse caso, você pode realizar uma restauração de fábrica do aparelho. Você não informou se possui um iPhone ou Android -- os passos são diferentes em cada um, mas confira abaixo as instruções:

- Instruções para restauração do iPhone
- Instruções para restauração do Android ou consulte um guia específico para o seu modelo de telefone (alguns aparelhos usam a palavra "redefinir" e outros "restaurar")

Se o problema continuar depois disso, ou você tem um software espião muito agressivo (improvável, já que um programa agressivo não teria qualidade ruim a ponto de ser perceptível) ou seu telefone tem algum outro problema.


O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para [email protected]. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima!

A fabricante de antivírus Kaspersky Lab identificou uma nova praga digital para celulares com o sistema operacional Android. Batizada de Loapi, a praga chama atenção por sua capacidade de "fazer tudo" e foi tema de um alerta nesta segunda-feira (18). O vírus:

- tem um módulo para minerar a criptomoeda Monero;
- é capaz de exibir propagandas no celular;
- pode monitorar e responder torpedos SMS automaticamente;
- pode obrigar o aparelho celular a participar de ataques de negação de serviço distribuída;
- cadastra o aparelho em serviços "premium" que aumentam a conta de telefone;
- exibe mensagens falsas caso o usuário tente instalar um antivírus ou mudar configurações que poderiam prejudicar o funcionamento do vírus.

O vírus chega ao celular disfarçado de algum aplicativo legítimo, especialmente com o nome de produtos antivírus, em links disseminados em campanhas publicitárias. Os criminosos também usam conteúdo pornográfico como atrativo. Porém, a Kaspersky Lab não informou ter identificado nenhum desses aplicativos falsificados no Google Play, a loja oficial do Google para o sistema Android.




Ícones de apps e conteúdos pelos quais o Loapi tenta se passar. (Foto: Reprodução/Kaspersky Lab)

Uma vez instalado, o aplicativo pede repetidamente que a vítima conceda permissão administrativa. Quando está em execução, o vírus pode deixar o celular extremamente lento, quente e com pouca duração da bateria, principalmente pela mineração da criptomoeda Monero.

Segundo a Kaspersky Lab, o processo de mineração da Monero pode ser tão intenso que, em alguns aparelhos, a bateria do telefone pode sofrer deformações.

"Os testes em um smartphone selecionado aleatoriamente demonstraram que o malware cria uma carga de trabalho tão pesada em um dispositivo infectado, que ele chega a aquecer muito a ponto de deformar a bateria. Os autores do malware não teriam desejado que isso acontecesse, pois querem a todo custo dinheiro e por isso manter o malware em funcionamento. Mas a falta de atenção à otimização do malware levou a este inesperado "vetor de ataque" físico e, possivelmente, danos sérios aos dispositivos do usuário", afirmou a Kaspersky Lab, em seu alerta.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

>>> Identificando origem de mensagem SMS
Gostaria de saber qual a melhor forma de descobrir endereço ou identificar a pessoal responsável por enviar uma mensagem SMS.

O fato ocorrido foi que recebi mensagens difamadores sobre minha pessoa e descobri que o número que me enviou essa mensagem está no meu CPF.

O número foi adquirido quando troquei de aparelho e tive que comprar outro chip pois o meu não era compatível com o novo aparelho, e fui até a loja da operadora para que o novo chip tivesse meu número anterior, do meu chip velho.

Achei que o número do chip novo seria inutilizado automaticamente, porém outra pessoa se passando por mim ativou o número.

Não sei o que fazer, pode me dizer qual a melhor forma para identificar o responsável?
João Paulo Menoli

João, se a linha foi cadastrada em nome falso (o seu, no caso), é bastante difícil de identificar o responsável. Será preciso uma investigação da polícia, com auxílio da operadora.

Não há muito que você possa fazer, como indivíduo, para rastrear o responsável. Embora você possa contratar um advogado para tentar, é improvável que esse esforço valha a pena.


>>> Descobrindo a origem de um vídeo
Recebi um vídeo no WhatsApp e gostaria de saber se há alguma forma de saber sua origem ou simplesmente quem postou no YouTube. Tem alguma forma?
Rosemary Matos

Se o vídeo foi publicado no YouTube, é possível ver os dados associados à conta que enviou o vídeo. Em alguns casos, há informações pessoais disponíveis sobre a pessoa. Em outros, será preciso uma ordem judicial para obter dados junto ao Google e ao provedor para identificar o responsável pelo envio.

No caso do WhatsApp, não há meio de simplesmente rastrear de onde um vídeo partiu. Você teria de consultar cada pessoa que compartilhou o vídeo até chegar ao possível usuário que compartilhou o vídeo pela primeira vez. Dito isso, se o vídeo foi compartilhado poucas vezes, isso até pode ser viável.




WhatsApp falso (esquerda) e legítimo (direita) no Google Play. (Foto: E_x_Lnc/Reddit/Reprodução)

>>> Propagandas e apps falsos: WhatsApp
Sobre a matéria do WhatsApp falso no Google Play, será que vocês poderiam explicar quais são os possíveis danos de quem o baixou e o que podemos fazer, por favor!
Gé Lelis

No caso do "Update WhatsApp Messenger", que chamou atenção por conseguir um milhão de downloads, não há informações claras sobre quaisquer danos que seriam causados ao telefone. No momento, a única orientação é desinstalar o app e a questão está resolvida.

Se você quer garantir que seu celular não sofra nenhum problema, você pode restaurar o aparelho às configurações de fábrica. Isso pode ser feito nas "Configurações" do aparelho.

Se decidir restaurar, você perderá as informações armazenadas no celular, mas diversos aplicativos (inclusive o WhatsApp) fornecem alguma opção de backup. Basta configurar tudo certinho antes de ativar essa funcionalidade para que você consiga recuperar praticamente tudo ao reconfigurar o telefone. Procure as opções de backup em cada aplicativo que possui dados que você deseja manter.

Ao restaurar o celular, você terá que reinstalar todos os aplicativos que você instalou. Por isso, esse procedimento garante que não fique qualquer rastro de aplicativos instalados por engano.


>>> Propagandas e apps falsos: Viber
Estava lendo sobre WhatsApp falso na Google Play, e uma coisa me chamou atenção, uso também o Viber, que depois de atualização começou aparecer propagandas, que antes não tinha. Será que está seguro?
Grata pela atenção
Neuci

Neuci, atualizações de apps (que ocorrem automaticamente e são baixadas da mesma fonte que o aplicativo original no Google Play) são quase sempre seguras. Até o momento, não há relato de algum ataque que tenha comprometido algum aplicativo de maneira severa través do mecanismo de atualização.

Quando a atualização ocorre automaticamente, o Google Play garante que ela é baixada exatamente do mesmo desenvolvedor que o aplicativo original. Portanto, o aplicativo será legítimo, a não ser que o próprio desenvolvedor do app seja malicioso ou sofra ataque de hackers. Isso tem ocorrido com extensões do Chrome.

No caso do Viber, a exibição de anúncios dentro do aplicativo é prevista pelo desenvolvedor, então não há nada de anormal nesse comportamento. Não há com o que se preocupar.


O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para [email protected]. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima!

Golpistas conseguiram cadastrar diversos aplicativos falsos do WhatsApp no Google Play, a loja oficial de aplicativos do Google para celulares e tablets com o sistema Android. Um dos aplicativos, chamado "Update WhatsApp" e identificado por um usuário do site "Reddit", ultrapassou a marca de um milhão de downloads.

Os aplicativos falsos chamaram atenção porque eram aparentemente desenvolvidos pela "WhatsApp, Inc.", o mesmo desenvolvedor que aparece cadastrado para o WhatsApp verdadeiro. Mas isso se tratava de uma ilusão de ótica: os hackers colocaram espaços fajutos ao lado do nome do desenvolvedor, como se fosse "WhatsApp, Inc. ".  Na página do Google Play, a diferença ficava imperceptível, exceto no link quando se clica no nome do desenvolvedor.

O Google Play possui uma série de filtros para impedir que aplicativos maliciosos ou falsos sejam cadastrados na plataforma. Mas, ao contrário do que acontece na App Store, da Apple, que em geral mantém aplicativos clonados e maliciosos fora da loja, muitos apps ilegítimos conseguem passar pelas barreiras do Google.

SAIBA MAIS
Vírus de mineração de criptomoedas são achados no Google Play




WhatsApp falso (esquerda) e legítimo (direita) no Google Play. (Fotos: E_x_Lnc/Reddit/Reprodução)

O especialista em segurança Nikolaos Chrysaidos, da fabricante de antivírus Avast, identificou uma série de outros apps falsos usando o mesmo truque para se aproveitar da marca e do nome do WhatsApp.

Os aplicativos falsos foram removidos do Google Play e o blog Segurança Digital não conseguiu localizá-los nesta segunda-feira (6).




Outros WhatsApp falsos cadastrados no Google Play. (Foto: Nikolaos Chrysaidos/Twitter/Reprodução)

Segundo o usuário do "Reddit" "dextersgenius", que fez uma análise do aplicativo, o "Update WhatsApp Messenger", que teve um milhão de downloads, apenas tentava instalar um outro aplicativo no aparelho e carregar anúncios publicitários. O aplicativo tem um ícone totalmente transparente, o que dificulta sua identificação nas configurações e lista de aplicativos do Android.

Embora a marca de um milhão de downloads para o aplicativo falso seja impressionante, o WhatsApp legítimo já acumula mais de um bilhão de downloads no Google Play.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

A fabricante de antivírus Trend Micro alertou esta semana que criminosos conseguiram cadastrar aplicativos para Android que mineram criptomoedas sem a autorização do usuário no Google Play. Os dois aplicativos identificados pela empresa já foram removidos da loja do Google, mas usuários devem ficar atentos caso algum aplicativo esteja consumindo muito o processamento do celular ou do tablet e, portanto, a bateria.

Um dos apps identificados pela Trend Micro tinha temática religiosa e oferecia ajudar os usuários a rezar o rosário. O outro parecia ser um aplicativo de "segurança sem fio", mas na verdade prometia descontos.




Aplicativos com código de mineração no Google Play. (Foto: Trend Micro)

Quando são iniciados, porém, os aplicativos começam a executar o código de mineração da Coinhive, o mesmo que foi adotado por alguns poucos sites e injetado por hackers em páginas invadidas.

A mineração é um processo que ajuda a manter a segurança da criptomoeda, mas que, tal como foi adotado por várias dessas moedas, demanda um poder de processamento considerável. Hackers se aproveitam dos celulares e computadores de internautas para fazer esse trabalho, enquanto eles ficam com as moedas que são distribuídas aos mineradores.

A criptomoeda minerada pela Coinhive é a Monero. Embora a Monero exija menos poder de processamento que outras, ainda é questionável se os processadores limitados dos celulares seriam capazes de contribuir significativamente para a mineração.

Infelizmente, mesmo que os hackers não tenham muito lucro com os celulares das vítimas, os dispositivos ainda podem sofrer com problemas como aquecimento, lentidão e grande redução na duração da bateria.

Segundo a Trend Micro, outra onda de ataques com vírus de mineração para Android usa uma tática diferente, pegando aplicativos legítimos e "empacotando" em um novo app, mas que inclui o código de mineração. Segundo a empresa, embora um desses apps tenha sido encontrado no Google Play, eles também são distribuídos em outros locais que distribuem apps para Android sem o aval do Google.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]