Foram identificados 16 aplicativos Android maliciosos ligados a temas de coronavírus, distribuídos fora de lojas oficiais por domínios recentes e usados para roubo de dados, controle remoto, fraude por serviços premium e exibição abusiva de anúncios.
| Componente | Aplicativos Android falsamente apresentados como ferramentas ou páginas informativas sobre coronavírus, incluindo amostras nomeadas como coronavirus.apk, corona.apk, Coronavirus_no_push_obf.apk e کرونا ویروس.apk. |
| Vetor | Distribuição fora de lojas oficiais, a partir de domínios recentes relacionados à COVID-19, explorando a busca de usuários por informação sanitária e ajuda durante a pandemia. |
| Impacto | Roubo de informações sensíveis, captura de credenciais e códigos de autenticação, controle remoto de dispositivos, carregamento de módulos maliciosos por C&C, fraude por serviços premium e exibição persistente de anúncios. |
| Prioridade | Bloquear instalação de APKs de origem não confiável, revisar dispositivos corporativos Android, monitorar tráfego para domínios temáticos recentes e conter aparelhos que executaram aplicativos com nomes associados à campanha. |
| Artefatos | Foram observadas três amostras criadas com Metasploit Framework, três variantes de Cerberus, uma variante de Hiddad voltada a falantes de árabe e menções a MRATs, trojans bancários e discadores premium. |
| IoCs | Exemplo defangado citado no contexto: hxxp://coronaviruscovid19-information[.]com/it/corona.apk. O uso defensivo deve priorizar categorias de domínio, nomes de APK e telemetria de instalação, não acesso ao recurso. |
Uma campanha de malware móvel usou o interesse global por informações sobre COVID-19 para induzir usuários Android a instalar aplicativos falsos. Foram identificados 16 aplicativos maliciosos que se passavam por recursos legítimos sobre coronavírus, mas carregavam famílias e técnicas com objetivos distintos: trojans de acesso remoto móvel, trojans bancários, discadores premium e adware oculto. A atividade não dependia de distribuição em loja oficial; os APKs eram oferecidos por domínios temáticos recém-criados, o que muda a prioridade de defesa de uma simples revisão de loja para controle de origem de instalação, filtragem de navegação, inspeção de reputação de domínio e inventário de aplicativos carregados fora do ecossistema oficial.
O ponto técnico central é que os aplicativos abusavam de um contexto de urgência pública para reduzir a cautela do usuário. A promessa de informação, alerta ou assistência sobre coronavírus servia como pré-condição social para a instalação manual de APKs. Depois da execução, as amostras observadas variavam em comportamento: algumas escondiam o ícone para dificultar remoção, outras estabeleciam comunicação com servidores de comando e controle, carregavam módulos adicionais em formato dex, coletavam credenciais, interceptavam SMS, acessavam dados do Google Authenticator ou exibiam anúncios mesmo fora da tela principal do aplicativo. Em ambiente corporativo, esse conjunto de comportamentos expõe dispositivos usados para e-mail, autenticação multifator, aplicativos internos e contas pessoais reutilizadas em serviços de trabalho.
A cadeia começa com domínios relacionados à COVID-19, criados ou usados para hospedar aplicativos Android aparentemente informativos. O contexto apresenta uma base ampla de domínios temáticos: mais de 30.103 domínios ligados a coronavírus foram registrados no período observado, com 131 classificados como maliciosos e 2.777 como suspeitos ou ainda em análise. Desde janeiro de 2020, o total indicado ultrapassava 51.000 registros relacionados ao tema. Esse volume cria cobertura para operadores maliciosos, porque muitos domínios parecem plausíveis para usuários leigos e podem escapar de controles baseados apenas em listas estáticas se ainda forem novos ou pouco vistos.
Três amostras com o nome coronavirus.apk foram associadas ao uso do Metasploit Framework. O contexto descreve que, após a execução no dispositivo, o aplicativo inicia um serviço e oculta o próprio ícone. Essa etapa reduz a visibilidade para o usuário e aumenta a persistência operacional, pois a remoção manual fica menos óbvia. Em seguida, o aplicativo se conecta a um servidor de C&C armazenado em uma matriz no código do malware e tenta carregar um módulo dex malicioso. Para defesa, o detalhe relevante não é reproduzir a carga, mas entender que a amostra separa instalador, serviço persistente e módulo carregado posteriormente. Isso permite procurar eventos de instalação de APK, criação de serviço, desaparecimento de ícone do lançador e tráfego de rede iniciado logo após a primeira execução.
Outra parte da campanha envolve o trojan bancário Android Cerberus, descrito como malware oferecido em modelo de serviço. Foram observadas três amostras baixadas de domínios com tema de coronavírus, incluindo nomes como corona.apk e Coronavirus_no_push_obf.apk. Essas variantes tinham capacidade de registrar teclas digitadas, capturar credenciais, obter dados do Google Authenticator, ler SMS recebidos, incluindo mensagens usadas em autenticação de dois fatores, e comandar remotamente o dispositivo por meio de TeamViewer. O contexto também indica uso de empacotador customizado para dificultar detecção e engenharia reversa, além de carregamento do código principal a partir de um arquivo JSON dentro da pasta Assets, que continha o módulo responsável por executar comandos recebidos do C&C.
A campanha também incluía Hiddad, abreviação de Hidden Ad, disfarçado como aplicativo de informação sobre coronavírus para falantes de árabe, com o nome کرونا ویروس.apk. O comportamento descrito é típico de adware oculto: após execução, o malware esconde o ícone e passa a distribuir anúncios na tela do usuário, esteja o usuário dentro do aplicativo ou não. Embora o impacto de adware seja diferente do impacto de um trojan bancário, o risco operacional não deve ser descartado. Um aplicativo que consegue se ocultar, sobrepor conteúdo ou disparar publicidade persistente pode degradar usabilidade, induzir cliques, gerar receita fraudulenta e sinalizar que o dispositivo aceitou instalação de origem não confiável.
A superfície afetada é composta por dispositivos Android nos quais usuários habilitaram ou aceitaram a instalação de APKs fora de loja oficial. O contexto afirma que os aplicativos maliciosos não foram encontrados em uma loja oficial, o que torna a origem de instalação uma evidência central. A exposição é maior quando o aparelho é usado tanto para fins pessoais quanto corporativos, porque o mesmo dispositivo pode conter sessões de e-mail, aplicativos de mensageria, tokens de autenticação, SMS de verificação, aplicativos bancários, navegadores com credenciais salvas e clientes de acesso remoto.
A campanha não se limita a uma única família de malware. O conjunto observado abrange MRATs, trojans bancários, discadores premium e adware. Isso significa que a resposta não pode presumir um único impacto. Em uma amostra, o objetivo pode ser controle remoto e carregamento de módulos; em outra, captura de credenciais e códigos de autenticação; em outra, fraude de receita por anúncios ou serviços pagos. A investigação deve correlacionar nome do APK, origem do download, permissões solicitadas, comportamento pós-instalação e tráfego de rede, em vez de depender somente do rótulo visual do aplicativo.
A presença de Cerberus amplia a criticidade para usuários que utilizam o mesmo telefone para autenticação bancária ou corporativa. A capacidade descrita de coletar SMS e dados do Google Authenticator afeta diretamente fluxos de autenticação multifator baseados no próprio dispositivo comprometido. Já as amostras construídas com Metasploit Framework indicam risco de controle flexível do aparelho e carregamento de payload adicional, enquanto Hiddad demonstra abuso de interface para monetização por anúncios. Em todos os casos, a condição comum é a instalação de aplicativo Android fora de origem confiável sob pretexto de conteúdo sobre COVID-19.
- Dispositivos Android com instalação manual de APKs habilitada ou tolerada por política local.
- Usuários que baixaram aplicativos temáticos de coronavírus fora de lojas oficiais.
- Aparelhos usados para SMS, autenticação multifator, aplicativos bancários, e-mail corporativo ou acesso remoto.
- Ambientes que não possuem inventário de aplicativos móveis, controle de reputação de domínio ou inspeção de tráfego de dispositivos móveis.
A busca defensiva deve começar por inventário de aplicativos instalados e eventos de origem de instalação. Nomes como coronavirus.apk, corona.apk, Coronavirus_no_push_obf.apk e کرونا ویروس.apk são pontos de partida, mas não devem ser tratados como lista completa. Como o tema da campanha é amplo, variações de nome, idioma e ícone são esperadas. A telemetria útil inclui aplicativos instalados fora de loja oficial, permissões incomuns para uma suposta aplicação informativa, serviços iniciados logo após a primeira execução, remoção ou ocultação do ícone do lançador e comportamento de rede para domínios recém-registrados com termos relacionados à pandemia.
No endpoint móvel, sinais relevantes incluem criação de serviços persistentes, carregamento dinâmico de módulos dex, leitura de SMS por aplicativos que não precisam dessa função, uso de acessibilidade ou controle remoto em contexto incompatível com a finalidade declarada, execução de componentes a partir da pasta Assets e presença de empacotadores ou ofuscação em APKs simples. Para o caso de Cerberus, a investigação deve correlacionar tentativas de captura de entrada, acesso a mensagens recebidas, interação com aplicativos de autenticação e canais de controle remoto. Para Hiddad, a defesa deve procurar exibição de anúncios fora do contexto do aplicativo, sobreposição visual e persistência após o usuário tentar fechar a aplicação.
Na camada de rede, a prioridade é identificar downloads de APK a partir de domínios temáticos, especialmente domínios recém-criados ou classificados como suspeitos. O indicador defangado hxxp://coronaviruscovid19-information[.]com/it/corona.apk ilustra o padrão: domínio com termos sanitários, caminho direto para APK e nome compatível com o pretexto da campanha. A análise não deve ativar o link nem recuperar amostras em ambiente de produção. O uso defensivo adequado é criar consultas por padrões de URL, reputação, idade de domínio, categoria de conteúdo e extensões de arquivo baixadas em dispositivos móveis.
- Instalação de APK fora de loja oficial com nomes ou ícones relacionados a coronavírus, COVID-19 ou informação sanitária.
- Aplicativo que oculta o ícone após a primeira execução e mantém serviço ativo em segundo plano.
- Conexões de rede iniciadas por aplicativo recém-instalado para domínios temáticos recentes ou de baixa reputação.
- Carregamento dinâmico de módulo
dexou código principal armazenado em JSON dentro deAssets. - Leitura de SMS, captura de entrada, acesso a dados de autenticação ou uso de controle remoto por aplicativo sem justificativa funcional.
- Exibição de anúncios persistentes fora da interface do aplicativo, especialmente após tentativa de fechamento ou remoção pelo usuário.
A contenção deve priorizar dispositivos que instalaram APKs temáticos de coronavírus por fora de lojas oficiais. Esses aparelhos devem ser isolados de recursos corporativos até que a análise confirme ausência de persistência, comunicação com C&C e abuso de credenciais. Como parte das amostras descritas pode acessar SMS, códigos de autenticação e credenciais digitadas, a resposta não deve se limitar à remoção do aplicativo. É necessário revisar contas usadas no dispositivo, revogar sessões ativas, redefinir credenciais quando houver suspeita de exposição e avaliar mudança de fatores de autenticação quando o próprio telefone comprometido era usado como segundo fator.
A mitigação preventiva depende de política de instalação e visibilidade móvel. Organizações devem bloquear ou restringir instalação de aplicativos de origem desconhecida, aplicar controle de conformidade em dispositivos corporativos e exigir que aparelhos com acesso a dados internos estejam sob inventário e política de segurança. Também é importante filtrar domínios recém-registrados com temas explorados por campanhas, registrar downloads de arquivos APK e alertar quando usuários acessarem domínios com reputação maliciosa ou suspeita. Em paralelo, a educação do usuário precisa ser objetiva: aplicativos de alerta, mapa, estatística ou ajuda sanitária não devem ser instalados a partir de links avulsos, mensagens ou domínios desconhecidos.
Para validação pós-incidente, a equipe deve confirmar que não há serviços persistentes associados aos APKs removidos, revisar tráfego histórico do dispositivo, verificar permissões concedidas, checar uso de controle remoto e correlacionar eventos de autenticação ocorridos após a instalação. No caso de atividade compatível com trojan bancário, o escopo deve incluir credenciais pessoais e corporativas digitadas no aparelho durante a janela de exposição. No caso de adware como Hiddad, a prioridade é remover o aplicativo, limpar permissões abusadas e confirmar que não houve instalação adicional a partir de anúncios ou redirecionamentos. Para amostras com carregamento de módulo remoto, a análise deve considerar que o comportamento observado no momento da coleta pode não representar todas as capacidades entregues ao dispositivo.
- Bloquear instalação de APKs de origem desconhecida em dispositivos com acesso a recursos corporativos.
- Remover aplicativos temáticos suspeitos e revisar permissões, serviços ativos e tráfego de rede posterior à instalação.
- Revogar sessões e redefinir credenciais quando houver indício de captura de entrada, leitura de SMS ou acesso a dados de autenticação.
- Criar alertas para downloads de arquivos APK a partir de domínios recém-registrados relacionados a COVID-19 ou termos sanitários semelhantes.
- Monitorar uso inesperado de controle remoto, leitura de SMS, carregamento de
dexe execução de código a partir deAssets. - Tratar dispositivos afetados como potencialmente comprometidos até concluir verificação de persistência, comunicação C&C e exposição de contas.
0 Comentários