Pesquisadores da ThreatFabric revelaram que os droppers, aplicativos maliciosos que funcionam como um “cavalo de Troia”, têm crescido nos ataques de malware para Android.
De acordo com os especialistas, a principal razão para o aumento desse tipo de campanha são as novas medidas de proteção do Google Play Protect, em particular, o Programa Piloto. A iniciativa do Google visa países de alto risco, como Índia, Brasil, Tailândia e Singapura, no intuito de impedir fraudes financeiras em aparelhos Android.
Na prática, os droppers conseguem burlar as defesas do Programa Piloto – e por isso têm sido a aposta dos criminosos. A função desses apps é abrir a porta do celular para que outros malwares mais perigosos sejam baixados e instalados em segundo plano, sem que o usuário perceba.
Como funciona o Programa Piloto?
Diferente das varreduras padrão do Play Protect, o Programa Piloto faz a checagem no momento imediatamente anterior à instalação do aplicativo, especialmente quando o app é instalado por sideload a partir de uma fonte de terceiro, e bloqueia a instalação se o app tiver permissões arriscadas.
Ele inspeciona apps por permissões perigosas como “RECEIVE_SMS, READ_SMS, BIND_Notifications e Accessibility”, chamadas de API suspeitas e comportamentos de alto risco antes que o app seja autorizado a ser instalado. Se a verificação detectar permissões de alto risco ou APIs suspeitas, o app é bloqueado da instalação imediatamente, antes mesmo do usuário poder interagir com ele.
Droppers são capazes de driblar segurança
Apesar do alto nível de segurança e das boas intenções, o Programa Piloto também deixa um “caminho” para os atacantes. Isso porque, sabendo de todos os conjuntos de defesa, é fácil para os criminosos estudarem jeitos de contornar as barreiras de proteção. O truque com os droppers é simples e eficaz. Quando o usuário baixa o app, ele parece totalmente legítimo, pode ser um jogo básico, uma calculadora ou um app de edição de fotos.
Durante a instalação, o aplicativo não pede permissões estranhas, o que ajuda a passar despercebido pelas verificações automáticas da Play Store. Para o Google, aquele app parece inofensivo. O problema começa depois. Já dentro do celular, o dropper se conecta a servidores externos controlados pelos criminosos e faz o download do payload, o malware verdadeiro.
É nesse momento que surgem pedidos de permissão mais sensíveis, como acesso a notificações, leitura de SMS, uso de serviços de acessibilidade ou até controle total da tela. Se o usuário aceitar, o aparelho fica vulnerável a golpes que incluem roubo de credenciais bancárias e senhas, interceptação de mensagens SMS (inclusive códigos de autenticação), espionagem de conversas em apps de mensagem, rastreamento da localização em tempo real, e mineração de criptomoedas escondida, que drena bateria e processamento.
Um dos casos mais citados pelos pesquisadores é o RewardDropMiner. Originalmente, ele chegou a combinar funções de spyware e mineração de criptomoedas. Com o tempo, os golpistas adaptaram o código para torná-lo mais difícil de detectar, mantendo apenas o essencial: a função de entregar malwares no dispositivo, como spyware ou outros payloads. O dropper era capaz de desdobrar seu próprio spyware de contingência (fallback) baseado na configuração do instalador caso o payload principal falhasse – e até executar um minerador oculto de Monero (XMR) acionado remotamente.
Outra família é a SecuriDropper, que ficou conhecida por conseguir instalar malwares mesmo em celulares com Android 13, aproveitando falhas no sistema de permissões. Já o Zombinder é ainda mais sofisticado: ele “cola” códigos maliciosos dentro de apps legítimos, distribuindo uma versão adulterada que parece oficial.
Esses exemplos mostram que os droppers não são restritos a trojans bancários complexos. Hoje, eles também entregam spywares simples e ladrões de SMS, tornando a ameaça mais ampla e difícil de identificar.
Como se proteger
Apesar de sofisticados, os droppers ainda dependem de um fator decisivo: a interação do usuário. Algumas medidas simples podem reduzir bastante os riscos:
- Baixe aplicativos apenas da Google Play e de desenvolvedores conhecidos;
- Desconfie de permissões desnecessárias: um app de calculadora não precisa ler suas mensagens;
- Evite instalar APKs de fora da loja oficial, principalmente enviados por links em mensagens;
- Mantenha o Android atualizado, já que versões mais recentes trazem correções de segurança;
- Monitore o comportamento do celular: bateria drenando rápido, travamentos e consumo anormal de dados podem indicar atividade maliciosa.
