Novo troiano para Android usa polimorfismo do lado do servidor para gerar variantes únicas. Portugal é um dos países afectados.
Investigadores da empresa de segurança Symantec identificaram um novo troiano por SMS para Android que modifica o seu código de cada vez que é feito um “download”, conseguindo assim contornar a detecção antivírus.
Esta técnica é conhecida como polimorfismo do lado do servidor e já existia no mundo do malware para os computadores há vários anos, mas os criadores de malwares para dispositivos móveis só agora a começaram a adoptar.
Um mecanismo especial de distribuição executado no servidor modifica certas partes certas do troiano, a fim de garantir que cada app maliciosa só é transferida uma única vez. Isto é diferente do polimorfismo local, em que o malware modifica o seu próprio código de cada vez que é executado.
A Symantec identificou múltiplas variantes deste cavalo de Tróia, que denominou de Android.Opfake, e todos elas são distribuídas a partir de sites russos. No entanto, o malware contém instruções para enviar automaticamente mensagens SMS para números de valor acrescentado num grande número de países europeus – incluindo Portugal – e da ex-União Soviética.
Nalguns casos, especialmente quando os programas de segurança dependem fortemente de assinaturas estáticas, a detecção de malware que faz uso do polimorfismo no lado do servidor pode ser difícil.
“Como acontece com o malware que afecta dispositivos informáticos tradicionais, o nível de sofisticação do polimorfismo usado pode afectar a facilidade ou dificuldade de detectar a ameaça”, disse Vikram Thakur, gestor principal de resposta de segurança da Symantec. “Um polimorfismo mais complicado requer contramedidas mais inteligentes”.
No caso do Android.Opfake, o nível de polimorfismo não é muito elevado, já que apenas alguns dos ficheiros de dados do troiano são modificados pelo servidor de distribuição.
“Se os fornecedores de antivírus focarem a detecção nas secções executável e não alteradas, todos os ficheiros podem ser detectados com sucesso”, referiu Tim Armstrong, investigador de malware no Kaspersky Lab. No entanto, se o código executável do troiano for também polimórfico, o desafio de o detectar será mais difícil, salientou.
De acordo com Armstrong, o polimorfismo do lado do servidor não está muito difundido na plataforma Android de momento porque a maioria dos utilizadores tem aplicações através dos canais oficiais e a estrutura actual do Android Market não permite um esquema de distribuição de malware como este.
No entanto, ele concorda que o malware polimórfico para Android pode forçar os fornecedores de antivírus a intensificar o seu trabalho no futuro. “Acho que muitos dos recursos disponíveis que estão actualmente nas plataformas tradicionais vão começar a chegar a estas plataformas móveis sem necessidade de os criminosos alterarem os seus métodos de ataque”, disse Armstrong.
Tem havido muitas novidades nas ameaças no ambiente móvel recentemente e aumentarem a sua atenção para os smartphones é um movimento lógico para os criadores de malware, porque eles normalmente vão onde está o dinheiro, salienta Jamz Yaneza, gestor de pesquisas na empresa de antivírus Trend Micro.
Os utilizadores devem estar mais cientes deste facto e das capacidades dos seus dispositivos móveis, que agora são semelhantes aos dos PCs, referiu Yaneza. “Eles deveriam tratar com a mesma cautela a transferência de aplicações como o fazem nos desktop”, e instalar ou usar qualquer tipo de segurança porque isso cria uma outra camada de protecção.