Um aplicativo de scanner de código de barras encontrado no Google Play baixado mais de dez milhões de vezes foi o vetor de uma infecção por vírus de computador em escala gigante.
A aplicação em questão chama-se Barcode Scanner e a partir de dezembro de 2020 tem sido cada vez mais objeto de reclamações dos consumidores. Nathan Collier, pesquisador para malwarebytes, ele tratou do caso a princípio ficou perplexo.
Nenhum dos clientes instalou recentemente nenhum aplicativo e todos os aplicativos que eles já instalaram vieram de loja oficial do Google, uma loja que, apesar de um histórico menos que perfeito, continua muito mais segura do que sites de terceiros. Após várias buscas Collier identificou o culpado no Barcode Scanner.
O pesquisador disse que uma atualização entregue em dezembro incluiu código que foi responsável por uma grande quantidade de anúncios maliciosos. O pesquisador ficou surpreso com a possibilidade de esse aplicativo ter conseguido passar despercebido do Google Play Protect. Também é absurdo como o desenvolvedor do aplicativo conseguiu transformar o programa em um malware, sob os olhos de todos sem que ninguém percebesse.
Como um aplicativo se transforma em um malware?
Nas palavras do pesquisador, a transformação de um aplicativo positivo em um malware é resultado de kits de desenvolvimento de software de terceiros, usados por desenvolvedores para monetizar aplicativos. A partir do código do aplicativo e do certificado digital que acompanha o código, o pesquisador acima determinou que o comportamento malicioso foi resultado de alterações feitas diretamente pelo desenvolvedor.
De fato, o pesquisador afirmou:
Não, no caso do Barcode Scanner, foi adicionado código malicioso que não estava presente nas versões anteriores do app. Além disso, o código adicionado foi fortemente mascarado para dificultar a detecção.
Para verificar se veio do mesmo desenvolvedor do aplicativo, confirmamos que eles verificaram os certificados digitais da nova versão e da antiga. Dada a intenção maliciosa da mudança, decidimos definir o código adicionado como um troiano em vez de um Adware.
O Google removeu o aplicativo malicioso da loja, mas não o removeu dos smartphones infectados. Esta última operação deve ser realizada pelo usuário.