Nestas últimas semanas têm surgido notícias sobre as aplicações móveis e algumas vulnerabilidades causadas pelas mesmas.
Da ideia inicial de ter aplicações elementares e utilitários (GPS, chamadas, editores, etc.) para utilização imediata, e depois desta plataforma ter sido descoberta pelas equipas de marketing e onde podiam ser aplicadas facilmente técnicas de engenharia social (visto mais tarde com detalhe), passaram a existir milhares de aplicações instaladas nos equipamentos móveis, e a grande maioria com utilidade algo duvidosa.
Com esta parafernália de aplicações, também existem centenas de aplicações móveis com intuitos escondidos, às quais vamos chamar de “aplicações falsas” e a sua origem é variada.
Em todas essas aplicações, a finalidade é instalar malware ou elas mesmo o são, de modo a possibilitarem actividades criminosas ou não legais.
Assim, uma “aplicação móvel falsa” é toda aquela que efectua algo para além do que a mesma está supostamente indicada e a mesma pode ser distribuída ou justificada de “boas intenções” por Estados, empresas e outras organizações. A partir do momento que sejam instaladas, os dados pessoais, financeiros e outros, residentes nesses dispositivos, ficam em risco, seja directamente por essas mesmas aplicações, seja por malware instalado a partir delas.
Tipos de aplicações falsas
Existem vários tipos, sendo os mais frequentes:
Falsificações:
São aplicações que imitam outra legitima, podem imitar o nome, logo, descritivo, etc. Frequente em “lojas” alternativas e em publicidade para descargas.
Reembalagens:
Em aplicações “open-source” um elemento malicioso pode criar a sua própria aplicação e adicionar publicidade, voltando a disponibilizá-la sobre outro nome. É uma atividade legal, embora irritante, mas deixa de o ser quando a altera para fins maliciosos.
Adulteração:
É quando uma aplicação corrente e normal, numa sua qualquer atualização, passa a ter uma “finalidade nefasta”. O utilizador nunca se irá aperceber e é muito difícil de detetar nas “lojas”.
Obscuração:
É quando uma aplicação indica um objetivo e finalidade, mas no seu código existe muito mais que isso, normalmente violando a privacidade do utilizador.
Ameaças de aplicações falsas
Com a aparência de inofensivas e úteis, na verdade podem ser:
- Bots de anúncios:
Normalmente são reembalados;
- Fraude de cobrança:
As aplicações efetuam chamadas telefónicas e envios de SMS para números de Valor Acrescentado ou compras em lojas;
- Rede de bots:
Utilização do equipamento em DDos e mineração de criptomoedas;
- Downloaders hostis:
Possibilitam carregar e instalar “payloads” maliciosos, mais hostis e nefastos;
- Phishing:
Redirecionam para inserir credenciais de modo a permitir a sua captura;
- Escalação de privilégios:
Possibilitam o efetivo e total controle do equipamento;
- Ransomware:
Com o controle do equipamento e dados, pedem resgate para libertar os mesmos;
- Enraizamento:
Assumem o controle “root” através de “jailbreaking”. A partir daí o controle do equipamento móvel é total, absoluto e silencioso, tendo acesso a todas as suas funcionalidades e dados;
- Spam:
Ter acesso à lista de contactos de modo a enviar mensagens e email não solicitados para estes;
- Spyware:
Aplicativos de spyware enviam dados pessoais a terceiros sem o seu consentimento. Os dados explorados podem incluir mensagens de texto, registos de chamadas, listas de contatos, registos de e-mail, fotos, histórico do navegador, sua localização GPS ou dados de outras aplicações;
- Cavalo de Tróia:
São aplicações inofensivas, mas na realidade é um “malware” da forma de exploração das categorias anteriores.
- Bridgehead:
É a forma final e conclusiva, o único objectivo é o equipamento ser utilizado como “porta de entrada” ou “testa de ponte” para a infraestrutura da organização, utilizando para isso ligações de rede, como por exemplo o wifi ou pastas partilhadas.
E sobre engenharia social?
Já pensaram porque existem tantas aplicações móveis de venda de produtos e serviços?
Tal como nas prateleiras dos hipermercados se colocam as “promoções” na altura dos olhos e junto à entrada dos mesmos, também muitas aplicações, sob a capa do “facilitismo”, utilizam essa técnica de obscuração para “promover” a venda de produtos e serviços.
Quando utilizam uma aplicação móvel, deixam de fazer comparações com a concorrência (por ser dificil de trocar de aplicação de modo intuitivo) e assim as suas “promoções” serão mais vantajosas para o vendedor.
O mesmo se passa com outras aplicações de serviços, sejam elas bancárias, comunicações ou outras, com uma agravante: com essas aplicações o “vendedor” pode rastear e perfilar o utilizador de modo a “robustecer” a sua base de dados, como se já não fosse suficiente e grave o risco de perda dos dados (devido a outro malware instalado).
Como evitar?
Toda e qualquer aplicação instalada aumenta o risco de “malware” ou de utilização danosa (para além de tornar o equipamento mais lento).
Uma solução passa pela redução da quantidade das mesmas.
Evitar então é bastante simples, basta mentalmente fazer a si mesmo as perguntas:
- É essencial e imprescindível?
A maior parte das aplicações regem-se apenas com a finalidade de “facilitismo” ou de “moda”, ou seja, na prática uma boa entrada de “engenharia social”.
- O programador é de confiança?
Já se verificou que muitas apps com finalidades nefastas que são aplicações com o patrocínio de governos e grandes empresas, daí que esta análise tenha de ser muito consciente.
- Verifique comentários, erros gramaticais e número de descarregamentos:
Normalmente aplicações falsas têm incoerência entre estes valores, como por exemplo, demasiadas reclamações ou uma avaliação alta para um número pequeno de downloads.
- Verifique as permissões pedidas para o dispositivo:
Todas as aplicações com funções não legitimas querem sempre ter permissões a “algo mais”. Se uma aplicação tem uma determinada funcionalidade e ela pede acesso a outras, como GPS, contactos, câmara, som, chamadas e outras sem necessidades fundamentadas… dizer que é estranho, é pouco.
Todas estas recomendações não garantem a sua segurança, mas apenas evitam que a sua falta seja tão facilmente explorada.
Como proteger-se de aplicações falsas que foram detetadas
Se você descobrir uma aplicação falsa no seu telefone:
- Apague e remova;
- Reinicie seu telefone;
- Denunciar a aplicação falsa à loja, é relevante para proteger outras pessoas.
Outras medidas incluem:
- Pensar antes de descarregar – escolha apenas aplicações que lhe serão úteis, essenciais e imprescindíveis;
- Esteja ciente de onde descarrega:
– Aceda apenas a lojas oficiais;
– Se estiver procurando por uma aplicação específica, use um mecanismo de pesquisa confiável para procurá-la. Os resultados da pesquisa devem apontar para a real;
– Se estiver a procurar por uma aplicação popular, visite o site oficial da mesma e descarregue de lá;
- Verifique sempre os detalhes da aplicação antes de fazer o download: para filtrar aplicativos falsos ou maliciosos – veja quem a desenvolveu, comentários de utilizadores, número de downloads e assim por diante;
- Nunca clique em links com promessas boas demais para ser verdade ou com solicitação de dados pessoais ou financeiros (banca, cidadania ou compras). Se você for um utilizador do Android e receber um SMS inesperado, um alerta ou notificação estranha ou solicitações incomuns do que pode parecer ser seu banco ou outra marca familiar, prossiga com cuidado;
- Leia as “letras pequenas” e análise que permissões são solicitadas pelos aplicativos;
- Familiarize-se com os recursos de segurança instalados nos seus dispositivos móveis;
- Pense sempre, a vantagem de instalar uma aplicação é para sí, ou de forma mais ou menos mascarada para outrem, (pois entidades governamentais, empresas e organizações estão sempre a incentivar a sua instalação)? Existem alternativas (porém, eventualmente menos cómodas…) para a mesma?
Infelizmente, as queixas de vítimas são cada vez mais frequentes. Porém, não podem transferir as responsabilidades dos danos para outros, pois na verdade em termos legais, são as vítimas, elas mesmas, responsáveis pela sua possível incúria e desleixo.