Sistema para desenvolvedores do Android é usado por cibercriminosos para controlar malware

O Google Cloud Messaging é uma ótima maneira para os desenvolvedores gerenciarem aplicativos legítimos - mas o serviço provou ser cúmplice involuntário de cibercrime. A Kaspersky Lab detectou vários programas maliciosos populares que usam o Google Cloud Messaging (GCM) como um canal de comunicação fácil e barato para ser usado maliciosamente.

O Google Cloud Messaging (GCM) permite que os desenvolvedores de aplicativos se comuniquem com os programas instalados em smartphones e tablet dos usuários. Eles podem enviar uma gama de informações, a partir de notificações comuns, enviadas para os próprios aplicativos. O serviço é usado para localizar telefones roubados, configurar remotamente as definições do telefone, enviar mensagens sobre novos níveis ou bens de jogo, etc.

Este serviço foi desenvolvido para tornar mais fácil para desenvolvedores de aplicativos baseados em Android apoiar programas baixados e instalados nos dispositivos dos usuários. Graças ao Google Cloud Messaging (GCM), os autores dos programas não precisam construir a sua própria infra-estrutura de TI para fazer isso.

No entanto, o GCM tem suas atrações para os cibercriminosos, que começaram a usá-lo como substituir servidor de Comando e Controle de aplicativos maliciosos. Isso torna mais rápido e mais barato para gerenciar dispositivos Android infectados, bastando registrar-se no serviço do Google.

Especialistas da Kaspersky Lab detectaram várias amostras de aplicativos maliciosos visando infectar donos de Android, todos eles usam a GCM para receber comandos dos fraudadores. Por exemplo, o Trojan-SMS.AndroidOS.FakeInst.a pode enviar mensagens de texto para números premium e apagar as mensagens recebidas, ou criar atalhos para sites maliciosos e mostrar notificações contendo anúncios de outros programas maliciosos que são distribuídos sob a forma de aplicações ou jogos úteis . O Trojan-SMS.AndroidOS.OpFake.a, além de enviar mensagens de texto para números premium, pode roubar mensagens e contatos, apagar as mensagens recebidas e cometer uma série de alterações no aparelho da vítima – tudo isso usando a GCM.

Roman Unuchek, analista sênior de malware da Kaspersky Lab não está surpreso com o aparecimento de programas maliciosos que utilizam o serviço do Google.

"Seria estranho se os criadores de vírus não estivesse aproveitando as oportunidades oferecidas por este serviço. No momento, não há muitas aplicações móveis usando a GCM, mas alguns dos programas já são bastante populares. Eles são comuns em algumas partes da Europa Ocidental, CEI e da Ásia. A única forma de bloquear esses canais de comunicação entre os criadores de vírus e seu malware é bloquear as contas desses desenvolvedores cujos IDs são usados ​​ao registrar programas maliciosos. Nós já informamos o Google sobre o GCM-ID que são usados nessas aplicações maliciosas ", disse Roman Unuchek.

Para saber mais sobre os programas maliciosos móveis que utilizam o serviço de GCM, leia o artigo de Roman Unuchek.