Pesquisadores da ThreatFabric identificaram um crescimento na utilização de droppers, aplicações maliciosas que agem como um “cavalo de Troia”, entre as campanhas de malware voltadas ao Android.
Segundo os especialistas, o avanço desse tipo de ameaça está ligado às novas salvaguardas do Google Play Protect, em especial ao chamado Programa Piloto. A iniciativa do Google foca em países considerados de alto risco, como Índia, Brasil, Tailândia e Singapura, com o objetivo de bloquear fraudes financeiras em dispositivos Android.
Na prática, os droppers têm sido a estratégia preferida dos criminosos por conseguirem contornar o Programa Piloto. Esses apps servem como porta de entrada no celular para que outros malwares, mais perigosos, sejam baixados e instalados em segundo plano, sem que o dono do aparelho perceba.
Como funciona o Programa Piloto?
Diferentemente das verificações rotineiras do Play Protect, o Programa Piloto realiza uma checagem imediatamente antes da instalação do aplicativo, especialmente quando o app é instalado por sideload a partir de fontes externas, e bloqueia a instalação caso detecte permissões de risco.
O sistema analisa solicitações consideradas perigosas, como “RECEIVE_SMS, READ_SMS, BIND_Notifications e Accessibility”, além de chamadas de API suspeitas e comportamentos de alto risco, antes de autorizar a instalação. Se forem detectadas permissões críticas ou APIs duvidosas, a instalação é interrompida automaticamente, sem que o usuário chegue a interagir com o app.
Droppers são capazes de driblar segurança
Apesar do reforço nas defesas, o Programa Piloto oferece pistas que podem ser estudadas pelos atacantes e, assim, encontrar formas de escapar das barreiras. A tática dos droppers é direta e eficiente: ao ser baixado, o aplicativo aparenta ser legítimo, por exemplo um jogo simples, uma calculadora ou um editor de fotos.
Durante a instalação, o app evita solicitar permissões incomuns, o que facilita sua aprovação nas verificações automáticas da Play Store. Para o Google, aquele software parece inofensivo; o risco surge posteriormente. Instalado no aparelho, o dropper conecta-se a servidores controlados pelos criminosos e obtém o payload, que é o malware real.
No momento do download do payload, começam a surgir pedidos por permissões mais sensíveis, como acesso a notificações, leitura de SMS, uso de serviços de acessibilidade ou até controle total da tela. Se essas permissões forem concedidas, o dispositivo fica exposto a golpes que incluem roubo de credenciais bancárias e senhas, interceptação de mensagens SMS (inclusive códigos de autenticação), espionagem de conversas em apps de mensagens, rastreamento em tempo real da localização e mineração oculta de criptomoedas, que consome bateria e processamento.
Um exemplo frequentemente citado é o RewardDropMiner. Inicialmente, ele combinava funcionalidades de spyware com mineração de criptomoedas. Com o tempo, os operadores modificaram o código para dificultar a detecção, mantendo apenas o que era necessário: a capacidade de entregar malwares ao dispositivo, como spywares ou outros payloads. O dropper podia até desdobrar um spyware de contingência (fallback) conforme a configuração do instalador e acionar remotamente um minerador oculto de Monero (XMR).
Outra família notória é a SecuriDropper, conhecida por instalar malwares mesmo em aparelhos com Android 13, explorando brechas no sistema de permissões. Já o Zombinder demonstra maior sofisticação: injeta códigos maliciosos dentro de apps legítimos, distribuindo versões adulteradas que aparentam ser oficiais.
Esses casos ilustram que os droppers não se limitam a trojans bancários complexos. Atualmente, também distribuem spywares simples e ladrões de SMS, o que amplia e dificulta a identificação da ameaça.
Como se proteger
Embora sofisticados, os droppers dependem de um elemento decisivo: a ação do usuário. Algumas precauções básicas reduzem consideravelmente os riscos:
- Instalar aplicativos apenas pela Google Play e de desenvolvedores conhecidos.
- Desconfiar de permissões desnecessárias. Um app de calculadora, por exemplo, não precisa acessar mensagens.
- Evitar a instalação de APKs fora da loja oficial, sobretudo quando enviados por links em mensagens.
- Manter o Android atualizado, pois as versões mais recentes trazem correções de segurança.
- Observar o comportamento do aparelho: consumo anormal de bateria, travamentos e uso elevado de dados podem indicar atividade maliciosa.
