Saiba como reconhecer e remover APPs falsos do Android

O FakeID é um bug de segurança que afeta 82% dos celulares Android e pode ser usado por aplicativos maliciosos para representar confiáveis, especialmente reconhecidos, e ter todos os privilégios que os verdadeiros apps possuem. Tudo isso sem que o usuário perceba que está sendo vítima de uma invasão criminosa.

A vulnerabilidade está presente em todas as versões do Android desde a 2.1 (Eclair). Estão livres apenas os usuários do recente Android 4.4 (KitKat). Os dispositivos nos quais o bug 13678484 foi corrigido (o patch foi emitido no início de 2014) não são vulneráveis a ataques. Todos os HTC, Pantech, Sharp, Sony Ericsson, Motorola e aparelhos que possuem extensões de administração do dispositivo 3LM, também estão em risco devido a esta falha.

O analista da Bluebox, Jeff Forristal, publicou na página da empresa que o FakeID age ao explorar “assinaturas de certificados” usadas para verificar certos aplicativos. O problema é que o Android falha ao fazer a “checagem dupla” desses certificados, independentemente se eles são reais ou falsos.

Isto abre portas para ataques como um aplicativo malicioso se passando por outro app, e um conseguindo usar a mesma identificação no Google Wallet e tomando controle do software 3LM. Com isso, o hacker pode controlar o celular e abrir portas para instalação de vírus, malwares e spywares.

Forristal também afirma que “o Android contém alguns certificados já gravados previamente por vários desenvolvedores, o que dá a eles acesso especial e privilégios dentro do sistema operacional sem precisar passar pelo típico processo de validação de certificados em cadeia”.

Um desses certificados pertence à Adobe e dá aos apps validados por ele ou aos seus certificados o poder de injetar código em outros aplicativos. Forristal acredita que esse processo existe para permitir que outros apps utilizem o plug-in do Adobe Flash Player.

Essa característica permite a um invasor validar um app malicioso com um certificado que parece ter sido conferido pelo código pré-gravado da Adobe, mas que na verdade não o foi. E enquanto o certificado da Adobe estiver presente na cadeia de certificados do app, o sistema vai aceitar o código liberado e injetar em outros apps, explica Forristal.

Aplicativos mais populares têm versão fake

Um dos aplicativos identificados com a falha é o Camera Nocturna, que já foi retirado da Google Play Store. O app pedia muito mais do que o acesso à câmera do telefone. Ao aceitar suas permissões, ele ganhava acesso aos contatos e conseguia autorização para escrever SMS, sem que o usuário percebesse.

Uma empresa de software de segurança do Japão realizou um processo para a verificação de aplicativos no sistema operacional Android. O resultado é de assustar: foram encontrados cerca de 900 mil aplicativos falsos.

De acordo com a pesquisa, cerca de 77% dos aplicativos mais populares do Android possuem uma versão falsa sendo comercializada, tornando-se um disfarce para que o usuário realize o download, com visual e dados semelhantes ao original.

A empresa também informou que mais de 890 mil aplicativos falsos podem ser encontrados em diferentes sistemas operacionais e lojas que trabalham alternativas e que atuam no segmento.

Dentre o número total de apps falsos encontrados, mais da metade destes possuíam códigos maliciosos, malwares e adwares.

Varredura por APPs falsos requer root

Mas, nem tudo está perdido. O Google disponibilizou um aplicativo chamado Bluebox Security Scanner, que pode ser baixado e instalado gratuitamente no seu dispositivo. Ele procura por aplicativos que possam estar utilizando esta vulnerabilidade.

Após a instalação, basta abrir o app que ele iniciará automaticamente a varredura em busca de aplicações falsas que apresentem riscos. Caso alguma delas tenha falha, a seguinte tela aparecerá para você:

Atenção: a falha, porém, só pode ser corrigida se seu aparelho tiver acesso root. Além disso, você também deve baixar e instalar o programa Xposed Framework. Em seguida, reinicie seu tablet ou smartphone para ativar todas as funções.

Depois de fazer a instalação e já ter realizado a busca pelo Bluebox, baixe e instale o aplicativo FakeID fix. O passo seguinte é abrir o Xposed Framework e, na secção “Modules”, ativar o “Fake ID fix” e reiniciar o aparelho.

Depois deste processo, a vulnerabilidade será corrigida. Abra novamente o Bluebox Security Scanner e faça o teste. Caso o seu aparelho esteja limpo, a imagem que aparecerá, dessa vez, será essa: