Aplicativos de código aberto no Google Play são arriscados

A loja virtual do Google para dispositivos com o sistema Android, a Google Play Store, possui muitos aplicativos legítimos com código aberto, alguns deles são bastante populares. Tirar vantagem deste tipo de aplicativo é fácil para desenvolvedores Android que desejam criar aplicações maliciosas e ganhar muita atenção rapidamente.

Código aberto, ou open source no nome em inglês, é um software disponível para qualquer pessoa usar, modificar e melhorar. Em termos de segurança, é uma faca de dois gumes. Por um lado, a transparência do código aberto significa que as falhas podem ser encontradas e solucionadas facilmente por outros desenvolvedores. Porém, a transparência também significa que as falhas podem ser encontradas e exploradas facilmente pelos criminosos cibernéticos.

Outro risco que pode surgir de projetos com código aberto é imitação. Criminosos podem utilizar um código aberto para aplicativos e criar cópias praticamente idênticas, mas com diferenças potencialmente maliciosas.

App Teligram
A Symantec recentemente encontrou um aplicativo chamado Teligram [NEW VERSION UPDATED] na Google Play Store, que é baseado no código aberto oficial do aplicativo Telegram. A única diferença, pelo menos à primeira vista, é a grafia do nome do aplicativo, com um i no lugar do e e o adendo [NEW VERSION UPDATED], e o ícone também é ligeiramente diferente. Esses detalhes são uma tentativa de enganar usuários a pensar que é uma nova versão do aplicativo legítimo Telegram.

O estilo das telas e a descrição do Teligram são idênticas a do aplicativo legítimo, e até funciona como uma ferramenta de mensagem instantânea. Entretanto, em segundo plano, o Teligram adicionou propagandas ao código aberto para gerar dinheiro.

As páginas dos aplicativos são muito similares, com a única diferença do ícone e do nome. A diferença existe apenas no nome: Telegram e Teligram. A descrição dos aplicativos também é idêntica, muda apenas uma letra do nome.

Uma vez instalado, se torna mais difícil de perceber a diferença entre os dois. Mas ao comparar os códigos, é possível ver que o Teligram adicionou bibliotecas de propaganda para gerar receita para os fraudadores. O Google já removeu o app Teligram da Play Store.

Malware construído no código aberto do Telegram
Nós também detectamos uma amostra de malware desenvolvida no código aberto do Telegram, que é distribuído em lojas de aplicativos de terceiros (detectado como Trojan.Gen.2).

O malware utiliza um pacote com o mesmo nome (org.telegram.messenger) e mesmo ícone que o oficial, mas requer permissões mais sensíveis e adicionou receptores e serviços maliciosos:

Uma vez instalado e inicializado, o malware descodifica a URL de uma matriz de byte. Então, baixa um arquivo JAR ou DEX externo da URL e invoca o payload – parte do vírus que executa a ação nociva – e que possibilita uma variedade de ações, como instalar uma backdoor ou um clicador de propaganda.

Comparado a este malware, os usuários do Teligram têm sorte porque, aparentemente, o único objetivo do aplicativo é a renda dos anúncios. Apesar de não ter nenhum comportamento malicioso no Teligram, seus desenvolvedores podem acrescentar qualquer coisa ao aplicativo.

Enquanto projetos de código aberto podem ser muito benéficos para desenvolvedores e consumidores, eles também podem ser usados por criminosos para criar imitações convincentes de aplicativos confiáveis.

Como se proteger

Os usuários devem tomar cuidado e se certificar que o aplicativo que estão baixando é exatamente o que estão pensando. Para se certificar de que o aplicativo é oficial, basta checar os seguintes pontos:

Nome do desenvolvedor — o nome do desenvolvedor é listado na página de download do aplicativo na Google Play Store. Pesquise na internet quem é o criador do aplicativo oficial para certificar que o nome é o mesmo.
Comentários — cheque a seção de comentários na página de download. Se o aplicativo tem qualquer funcionalidade suspeita ou não opera de maneira similar ao original, normalmente ele terá críticas negativas.
Classificação — apesar de aplicativos falsos poderem ter classificação alta, o número de classificações tende a ser muito menor do que o da versão original.

Os usuários ainda podem se proteger tomando as seguintes medidas: