Adware agressivo prometia coisas gratuitas para usuários do Android apenas para permanecerem instalados

• Aplicativos de adware agressivos invadem dezenas de milhares de dispositivos
• Os operadores desenvolveram os aplicativos para serem executados sem obstáculos em segundo plano
• O Google removeu todos os aplicativos falsos da Play Store

No pico de sua atividade, o botnet, denominado TERRACOTTA, tinha mais de 65.000 dispositivos infectados, falsificou mais de 5.000 aplicativos e gerou cerca de 2 bilhões de solicitações de lance fraudulentas. Esse adware agressivo geralmente busca uma coisa – gerar o máximo possível de cliques falsos e criar a impressão de que os usuários estão clicando ativamente nos anúncios.

O velho ditado, “Se algo parece bom demais para ser verdade, provavelmente é”, resume a oferta do botnet TERRACOTTA. Os aplicativos ofereciam sapatos, cupons ou ingressos para shows aos usuários, e as pessoas não precisavam pagar um centavo. Se alguém distribuísse sapatos de graça em uma esquina, todos suspeitariam imediatamente. Por que não sentir a mesma suspeita quando a oferta vem de um aplicativo Android aleatório?

“O malware TERRACOTTA ofereceu aos usuários do Android produtos gratuitos em troca do download do aplicativo – incluindo sapatos, cupons e ingressos para shows – que os usuários nunca receberam”, disseram os pesquisadores . “Depois que o aplicativo foi instalado e o malware ativado, o malware usou o dispositivo para gerar impressões de anúncios não humanos que pretendiam ser anúncios exibidos em aplicativos Android legítimos.”

Os cibercriminosos escreveram os aplicativos usando a estrutura de desenvolvimento de plataforma cruzada React Native, que não levantou nenhum sinalizador. Por outro lado, os aplicativos exigiam acesso a permissões poderosas, WAKE_LOCK e FOREGROUND_SERVICE, que permitiriam que os aplicativos funcionassem sem interrupções e invisíveis em segundo plano.

O Google foi rápido em remover todos os aplicativos TERRACOTTA, e seus operadores usaram a estrutura React Native para todos eles. Curiosamente, a simples remoção do software da loja oficial não significa que ele foi removido dos dispositivos. Muitos deles permanecem ativos, embora não consigam mais gerar recursos para suas operadoras.

Fonte: https://hotforsecurity.bitdefender.com/blog/aggressive-adware-promised-free-stuff-to-android-users-just-to-stay-installed-24035.html