Novembro de 2020
A plataforma de segurança celular Secure-D da Upstream identificou que um popular aplicativo Android foi responsável por mais de 20 milhões de tentativas de transações fraudulentas que poderiam ter resultado em 27 milhões de dólares em cobranças falsas para os usuários. O aplicativo VivaVideo vem iniciando tentativas de assinatura premium, apresentando anúncios invisíveis aos usuários enquanto evita a detecção pelos usuários.
20 MILHÕES DE TRANSAÇÕES NÃO DESEJADAS POR MEIO DE CELULARES LEVAM À INVESTIGAÇÃO
A Secure-D executa serviços de detecção de fraudes em celulares movidos por IA para proteger usuários, operadoras de telefonia celular e anunciantes contra crimes cibernéticos – um problema de vários bilhões de dólares para todos os envolvidos no ecossistema da publicidade em celulares. Desde o início de 2019, nossos algoritmos detectaram e bloquearam mais de 20 milhões de transações celulares suspeitas, originadas do aplicativo VivaVideo Android.
19 países foram afetados com a maior atividade acontecendo no Brasil (mais de 11,5 milhões de transações em celulares), assim como na Indonésia, Egito e Tailândia.
Há muito tempo o VivaVideo está no topo da lista de aplicativos suspeitos no indice Secure-D, então a equipe de pesquisa da Secure-D aproveitou a oportunidade para investigar mais a fundo.
SOBRE O APP
O VivaVideo é um aplicativo Android freemium, oferecendo recursos básicos de produção de vídeo – ferramentas de edição, efeitos, sobreposições de música e muito mais.
Com a crescente popularidade dos stories no Instagram, reels e vídeos TikTok, o VivaVideo não teve problemas em acumular uma enorme base de usuários, atraídos por ferramentas e filtros de edição de vídeo simples e aparentemente gratuitos. O aplicativo tem mais de 100 milhões de instalações e uma classificação de 4,2 no Google Play, com base em mais de 12 milhões de avaliações. O desenvolvedor do aplicativo mencionado, QuVideo Inc, está sediado na cidade de Hangzhou, China.
Anteriormente, o aplicativo VivaVideo apareceu no radar de segurança por utilizar componentes de software espião para coletar dados de usuários sem seu conhecimento, como várias auditorias externas confirmaram. Nossa investigação descobriu outros comportamentos problemáticos que o aplicativo exibia em dispositivos infectados.
Uma investigação minuciosa nos laboratórios da Secure-D
Ao analisar os registros iniciais de monitoramento do aplicativo, a equipe da Secure-D decidiu investigar melhor a natureza e a escala das atividades fraudulentas que o aplicativo VivaVideo estava realizando em segundo plano.
Os pesquisadores da Secure-D adquiriram dois dispositivos infectados de usuários reais (um Samsung Galaxy SM-G930F e um Galaxy J1 Ace SM-J111F) e os colocaram sob observação em nosso laboratório para fazer a engenharia reversa do padrão de fraude.
Nossa primeira descoberta – Tentativas de assinaturas premium ocultas
Durante o curso da investigação, a equipe da Secure-D testemunhou tentativas de assinatura em tempo real que o VivaVideo v7.3. estava tentando executar sem qualquer intervenção ou autorização do usuário. A Secure-D encontrou provas de tais tentativas em dispositivos infectados, analisando os registros da rede, como ilustrado abaixo:
Nome do serviço: KidZone
URL do serviço: http://doi.mtndep.co.za/service/6307
Custo da assinatura: 4 ZAR/dia (0,21 euros/dia)
Durante o monitoramento subsequente, a equipe da Secure-D também detectou um falso clique em um banner de anúncio às 9h00, logo seguido por uma tentativa de compra de assinatura às 9h01min. Naquele momento o dispositivo estava desacompanhado no laboratório da Secure-D.
Neste caso, as tentativas de compra de serviços foram atribuídas a uma rede de afiliados. Se a compra fosse bem sucedida, o anunciante teria sido cobrado uma taxa de comissão pela rede.
A segunda descoberta – Os aplicativos celulares fraudulentos são bons em restringir a sua atividade ao serem monitorados
Durante a próxima etapa da investigação, a Secure-D realizou uma análise de código estático para determinar se o aplicativo cessa sua atividade fraudulenta quando o celular se encontra em modo root ou quando está sendo monitorado via emulação ou software de monitoramento remoto.
O seguinte código foi encontrado dentro do VivaVideo v8.4.2, o que comprova a existência de estruturas de emulação:
Durante nossos testes, detectamos que o aplicativo VivaVideo transferiu uma lista de aplicativos de monitoramento instalados para o seguinte endpoint: https://xy-flkf-medi.kakalili.com/api/rest/s/recordapplist
Nossas descobertas confirmaram que o aplicativo contém trechos de código que verificam o software de monitoramento instalado no dispositivo do usuário. O VivaVideo parou de executar toda a atividade suspeita em segundo plano quando o aplicativo de monitoramento foi instalado.
Os fraudadores estão continuamente melhorando seu jeito de ganhar dinheiro. Tais trechos de código são um método comum que os fraudadores usam para não serem detectados quando se trata de fraude publicitária em celulares.
Nossa terceira descoberta – o VivaVideo requer permissões de usuário desnecessárias
Para utilizar o aplicativo, os usuários são solicitados a autorizar o acesso a uma série de informações sensíveis, como localização GPS, aplicativos em execução no momento, e muito mais:
Tais pedidos de permissão dificilmente são necessários para que um pedido de edição de vídeo seja executado corretamente. Normalmente, este tipo de aplicativo precisa deles para executar atividades ocultas que não estão relacionadas com a função central do aplicativo.
Nossa quarta descoberta – o VivaVideo contém um conhecido SDK de fraude publicitária, banido pelo Google
Em 2018, o Google realizou uma grande investigação sobre três SDKs (kits de desenvolvimento de software) para redes de anúncios maliciosos e os baniu do Google Play, juntamente com os desenvolvedores que os utilizavam. Um dos SDKs problemáticos foi o Batmobi.
O Batmobi explora as permissões do usuário para se envolver em cliques de spam e cliques de instalação fraudulentos – duas técnicas populares de fraude publicitária, causando grandes perdas publicitárias. Em particular, descobriu-se que o Batmobi estava registrando cliques falsos e enviando-os aos anunciantes para reivindicar uma recompensa pela instalação do aplicativo.
Nossa equipe de segurança descobriu que o SDK Batmobi estava presente em versões anteriores do aplicativo VivaVideo, que não estão mais disponíveis no Google Play. Entretanto, nossas entrevistas com proprietários de dispositivos infectados revelaram que versões desatualizadas do aplicativo VivaVideo eram frequentemente distribuídas através do ShareIt, um popular aplicativo de transferência e compartilhamento. Foi assim que o SDK malicioso continuou circulando entre os usuários de telefonia celular.
Como o VivaVideo Play afeta os Usuários Desprevenidos
A menos que impedido pela plataforma Secure-D, o VivaVideo poderia ter continuado a alimentar-se do tempo de conexão pré-pago dos clientes desprevenidos, dos dados móveis e, em última instância, do seu dinheiro. Durante o período monitorado, a Secure-D bloqueou mais de 20 milhões de solicitações de transações celulares suspeitas, originadas de mais de um milhão de dispositivos infectados em 19 países, com o VivaVideo instalado.
Se não bloqueadas pela Secure-D, cada tentativa de transação poderia ter desencadeado a compra de serviços premium, custando aos usuários de 19 países mais de US$ 27 milhões em cobranças indesejadas.
O valor real da fraude pode ser ainda maior, já que esta estimativa se baseia na análise da Secure-D e em implantações em uma pequena amostra do tráfego total da Internet.
Mantenha-se Protegido Contra Fraudes nas Transações por Celular
Se você tiver o VivaVideo instalado em seu aparelho, vá até a loja Google Play e atualize-o para a versão mais recente.
Para evitar serem explorados por aplicativos predatórios, os usuários do Android devem sempre instalar somente aplicativos do Google Play e evitar qualquer site não verificado ou links diretos.
Entretanto, aplicativos celulares provenientes de fontes legítimas também podem estar comprometidos. Antes de instalar qualquer coisa nova em seu dispositivo, certifique-se de que:
- As avaliações do aplicativo no mercado e na web foram verificadas.
- Os detalhes do desenvolvedor foram analisados e sua credibilidade avaliada.
- A lista de permissões solicitadas foi lida e houve a verificação se todas elas são realmente necessárias para que o aplicativo funcione.
A Secure-D trabalhou conjuntamente com a Forbes para a publicação desta história. Você pode ler o que eles escreveram aqui.