Mais de 300 aplicativos maliciosos para Android baixaram 60 milhões de itens do Google Play e agiram como adware ou tentaram roubar credenciais e informações de cartão de crédito.
A operação foi descoberta pela primeira vez pelo IAS Threat Lab , que categorizou a atividade maliciosa sob o nome “Vapor” e disse que ela está em andamento desde o início de 2024.
O IAS identificou 180 aplicativos como parte da campanha Vapor, gerando 200 milhões de solicitações fraudulentas de anúncios diariamente para se envolver em fraudes publicitárias em larga escala.
Um relatório recém-publicado pela Bitdefender aumentou o número de aplicativos maliciosos para 331, relatando muitas infecções no Brasil, Estados Unidos, México, Turquia e Coreia do Sul.
“Os aplicativos exibem anúncios fora de contexto e até tentam persuadir as vítimas a fornecer credenciais e informações de cartão de crédito em ataques de phishing”, alerta a Bitdefender .
Embora todos esses aplicativos tenham sido removidos do Google Play, há um risco significativo de que o Vapor retorne por meio de novos aplicativos, pois os invasores já demonstraram a capacidade de contornar o processo de revisão do Google.
Aplicativos Vapor no Google Play
Os aplicativos usados na campanha Vapor são utilitários que oferecem funcionalidades especializadas, como monitoramento de saúde e condicionamento físico, ferramentas de anotações e diários, otimizadores de bateria e leitores de código QR.
Os aplicativos passam nas revisões de segurança do Google porque incluem a funcionalidade promovida e não contêm componentes maliciosos no momento do envio. Em vez disso, a funcionalidade do malware é baixada após a instalação por meio de atualizações entregues de um servidor de comando e controle (C2).
Alguns casos notáveis destacados pela Bitdefender e IAS são:
- AquaTracker – 1 milhão de downloads
- ClickSave Downloader – 1 milhão de downloads
- Scan Hawk – 1 milhão de downloads
- Water Time Tracker – 1 milhão de downloads
- Seja Mais – 1 milhão de downloads
- BeatWatch – 500.000 downloads
- TranslateScan – 100.000 downloads
- Localizador de aparelhos – 50.000 downloads.
Eles são carregados no Google Play de várias contas de desenvolvedores, cada uma enviando apenas algumas para a loja, para não correr o risco de alta interrupção em caso de remoções. Por razões semelhantes, cada editor usa um SDK de anúncios diferente.
A maioria dos aplicativos Vapor foi publicada no Google Play entre outubro de 2024 e janeiro de 2025, embora os uploads tenham continuado até março.
Funcionalidade maliciosa
Os aplicativos maliciosos do Vapor desativam sua Atividade do Launcher no arquivo AndroidManifest.xml após a instalação, tornando-os invisíveis. Em alguns casos, eles se renomeiam em Configurações para aparecerem como aplicativos legítimos (por exemplo, Google Voice).
Os aplicativos são iniciados sem interação do usuário e usam código nativo para habilitar um componente oculto secundário, mantendo o inicializador desabilitado para manter o ícone oculto.
O Bitdefender comenta que esse método ignora as proteções de segurança do Android 13+ que impedem que os aplicativos desabilitem dinamicamente suas próprias atividades de inicialização quando estiverem ativos.
O malware também ignora as restrições de permissão ‘SYSTEM_ALERT_WINDOW’ no Android 13+ e cria uma tela secundária que atua como uma sobreposição de tela cheia.
Os anúncios são exibidos nesta tela, que é sobreposta a todos os outros aplicativos, deixando o usuário sem nenhuma maneira de sair, pois o botão “voltar” está desabilitado.
O aplicativo também se remove das “Tarefas Recentes”, para que o usuário não consiga determinar qual aplicativo iniciou o anúncio que ele acabou de receber.
O Bitdefender relata que alguns aplicativos vão além da fraude de anúncios, exibindo telas de login falsas do Facebook e do YouTube para roubar credenciais ou solicitar que os usuários insiram informações de cartão de crédito sob vários pretextos.
Geralmente, é recomendado que usuários do Android evitem instalar aplicativos desnecessários de editores não confiáveis, examinem as permissões concedidas e comparem a gaveta de aplicativos com a lista de aplicativos instalados em Configurações → Aplicativos → Ver todos os aplicativos.
A lista completa de todos os 331 aplicativos maliciosos enviados ao Google Play está disponível aqui .
Se você descobrir que instalou algum desses aplicativos, remova-os imediatamente e execute uma verificação completa do sistema com o Google Play Protect (ou outros produtos antivírus móveis).
O BleepingComputer entrou em contato com o Google para comentar a campanha do Vapor, e um porta-voz nos enviou a seguinte declaração:
“Todos os aplicativos identificados neste relatório foram removidos do Google Play. Os usuários do Android também são protegidos automaticamente pelo Google Play Protect, que está ativado por padrão em dispositivos Android com o Google Play Services.” – Um porta-voz do Google
