Notícias

Jogo de terror Android rouba credenciais do Google, Facebook e dados

Um jogo de horror Android com mais de 50.000 instalações mostrou comportamentos maliciosos, roubando as credenciais do Google e do Facebook dos jogadores, e desviou seus dados depois de fazer login em suas contas.

O jogo chama-se Scary Granny ZOMBYE Mod: O Jogo de Terror 2019  (Scary Granny) e foi concebido para apostar no sucesso de outro jogo Android chamado Granny que atualmente tem mais de 100 milhões de instalações.

Enquanto Scary Granny é um jogo totalmente funcional que realmente manteria os jogadores jogando para evitar qualquer suspeita e levantando bandeiras vermelhas, foi removido em 27 de junho do Google Play Store    Google Cache link AQUI  – após os pesquisadores que desenterraram seus phishing e dados habilidades de sifonagem relataram isso ao Google.

Vovó vs avó assustadora ZOMBYE modificação

Para esconder seu verdadeiro lado “horror”, o jogo adiaria exibir qualquer atividade maliciosa por até dois dias depois de ser instalada, como descobriu a equipe de pesquisa de Wandera.

O aplicativo também só ativaria seus módulos de roubo de dados somente se estivesse sendo usado em versões mais antigas do Android, com os usuários de dispositivos mais recentes executando sistemas operacionais atualizados sem serem afetados.

Ao ser instalado, o jogo Scary Granny ganha persistência nos dispositivos pedindo permissões para se lançar depois que o smartphone do tablet for reiniciado.

Isso permite que ele mostre sobreposições de phishing em tela cheia, mesmo após os usuários do Android reinicializarem seus dispositivos, exibindo “uma notificação informando ao usuário para atualizar os serviços de segurança do Google. Quando o usuário acessa” atualizar “, é apresentada uma falsa página de login do Google. o que é muito convincente além do fato de que “entrar” é grafado incorretamente. “

Credenciais do Google phishing
Credenciais do Google phishing

Depois de roubar com sucesso as credenciais do Google da vítima, o Scary Granny começará a coletar informações da conta, como e-mails de recuperação e números de telefone, códigos de verificação, datas de nascimento, bem como cookies e tokens.

Inspecionar o tráfego de rede do aplicativo também permitia aos pesquisadores que o jogo malicioso registrasse as contas das vítimas usando um navegador embutido e ele iria começar a coletar cookies e identificadores de sessão que seriam enviados sub-repticiamente ao atacante.

Esse comportamento foi ativado depois que uma versão inicial do aplicativo “teve a capacidade de roubar e exfiltrar dados da conta do Google e do Facebook, mas não estava fazendo essas transações devido ao constante crash”, mostrando que os criminosos cibernéticos por trás desse jogo de terror estavam continuamente atualizando seus recursos maliciosos.

Para capturar as informações do Google e do Facebook de suas vítimas, Scary Granny poderia usar pacotes ofuscados projetados para imitar componentes de aplicativos oficiais do Android, por exemplo, utilizando o pacote com.googles.android.gms que tenta se camuflar como o legítimo  com.google.android .gms .

Anúncios de sobreposição disfarçados como outros aplicativos Android

O malicioso jogo de terror Scary Granny Android também exibe anúncios persistentes camuflados como anúncios de outras aplicações como Amazon, Facebook, Facebook Lite, HaGo, Hulu, Instagram, Mensageiro, Pinterest, SnapChat, TikTok ou Zalo.

“Em nossa análise, pudemos ver que ao visualizar todos os aplicativos abertos no dispositivo, parecia que havia aplicativos abertos incluindo o Facebook e a Amazon, mas na verdade eram anúncios que o aplicativo Scary Granny havia aberto e disfarçado como aplicativos legítimos”, descobriu pesquisadores.

Aplicativos de sobreposição disfarçados como aplicativos
Aplicativos de sobreposição disfarçados como aplicativos

Embora Wandera não tenha conseguido provar que os anúncios também foram usados ​​para redirecionar as vítimas para o download de links que permitiriam aos bandidos distribuir outros aplicativos maliciosos.

No entanto, “em um exemplo, o anúncio direciona o usuário para uma página bloqueada pelo Google, denunciando-o como sendo enganoso, o que sugere que ele hospede malware ou um ataque de phishing”.

Os anúncios seriam distribuídos aos dispositivos Android comprometidos depois de se conectarem a uma rede de anúncios usando o   pacote com.coread.adsdkandroid2019 .

O jogo malicioso também tentaria aumentar ainda mais os lucros de seus donos, exigindo que os usuários do Android pagassem pelo jogo por meio de uma “página de pagamento pré-preenchida do PayPal por £ 18 (US $ 22)”, como conclui Wandera .

FONTE

Mais Lidas

To Top