O malware bancário era capaz de intercetar mensagens SMS e descarregar e instalar aplicações falsas, fazendo-se passar pelo Flash Player, segundo a ESET que analisou o software malicioso e comunicou a sua descoberta.

Explicam os investigadores de segurança que, quando os utilizadores chegavam à CepKutusu.com, uma alternativa à Google Play baseada na Turquia, e faziam o download de qualquer app, o botão “Descarregar agora” conduzia na verdade a um malware bancário ao invés da aplicação desejada.

Um aspeto interessante descoberto é que o redirecionamento da aplicação legítima para a maliciosa verificava-se a nível global, ou seja, todas as aplicações eram substituídas pelo malware bancário – com uma exceção: para aumentarem as hipóteses de não serem apanhados, os criminosos criaram uma política de sete dias sem infeções após terem servido um download malicioso.

Na prática, depois do utilizador descarregar uma aplicação infetada, era colocado um cookie para que não voltasse a ser entregue o malware (pelo menos durante sete dias). Após esse período, a vítima voltava a ser direcionada para o ficheiro infetado.

Segundo a ESET, esta é a primeira vez que se vê uma loja Android completa a ser infetada desta forma. A técnica é conhecida no ecossistema Windows e em browsers, mas no ecossistema Android representa um novo vetor de ataque.

A empresa refere que não se sabe ao certo quem foi o responsável por este tipo de ataque e se a loja teve, ou não, algo a ver com isso, embora refira que poucas semanas após terem comunicado a descoberta aos operadores da loja, as atividades maliciosas terminaram.

“O que importa salientar é que, à semelhança deste caso, existem imensas lojas para apps Android alternativas e, com tal, é importante que os utilizadores estejam atentos”, refere-se na nota enviada às redações. “Se possível descarregue sempre as aplicações a partir das lojas oficiais  (Google Play, para todos os dispositivos Android, ou aquela que eventualmente a marca do seu smartphone possua, como é o caso da loja da Samsung), que são mais controladas e possuem mecanismos de segurança que analisam por diversas vezes as aplicações antes de as disponibilizarem para download”.