• Pesquisas
  • 6 min de leitura
  • Maio 20, 2019

Secure-D revela que o aplicativo para Android VidMate esconde atividades em segundo plano que geram cliques falsos e instalam outros aplicativos suspeitos sem o consentimento dos usuários

Por Upstream

Maio de 2019

SUMÁRIO


O laboratório de segurança da Upstream, Secure-D, revelou que o popular aplicativo de vídeo para Android VidMate, com mais de 500 milhões de downloads, aciona uma atividade suspeita em segundo plano. Um componente oculto dentro do aplicativo fornece anúncios invisíveis, gera cliques falsos e compras, instala outros aplicativos suspeitos sem consentimento e coleta informações pessoais dos usuários. Consequentemente, ele esgota a quota de dados dos usuários e traz cobranças indesejadas.

A INVESTIGAÇÃO

Recentemente, a Secure-D detectou e bloqueou mais de 128 milhões de transações celulares suspeitas iniciadas pelo VidMate. Estas transações tiveram origem em 4,8 milhões de dispositivos celulares únicos em 15 países.

Se não fossem bloqueados, eles teriam contratado serviços digitais premium que poderiam custar até US$ 170 milhões em cobranças indesejadas.

O VidMate é um aplicativo popular para Android que permite aos usuários transmitir e baixar vídeos e músicas de serviços como o Dailymotion, Vimeo e YouTube. O VidMate não está disponível na loja do Google Play mas pode ser baixado através de lojas de aplicativos de terceiros como CNET ou Uptodown. De acordo com informações disponíveis publicamente, o VidMate foi desenvolvido por uma subsidiária da UC Web, que é de propriedade do conglomerado chinês Alibaba.

PROCESSO DE INVESTIGAÇÃO E CONCLUSÕES


PREPARANDO A INVESTIGAÇÃO

SA Secure-D registrou um alto número de transações suspeitas em vários países originárias do VidMate. Isto foi verificado transversalmente com relatórios de vários usuários assinalando que seus aparelhos estavam realizando assinaturas de serviços digitais não iniciadas pelo usuário, levando a cobranças de tempo de conexão indesejadas. Compramos três desses dispositivos de seus proprietários e os colocamos em nosso laboratório para investigação. Todos os usuários confirmaram que seu telefone estava “se comportando” de maneira estranha, com o uso inesperado de dados, superaquecimento e redução do nível da bateria, mesmo quando o dispositivo não estava em uso. Os aparelhos eram um Huawei ALE-21, um LG G5 H850 e um Sony G3311.
Todos os aparelhos tinham o aplicativo VidMate instalado, confirmando que este era o fator comum. Os testes envolveram a operação do dispositivo isolado em um ambiente de sandbox a fim de analisar todo o tráfego HTTP de entrada e saída do dispositivo e revelar qualquer atividade suspeita.

DESCOBERTAS ALARMANTES: O COMPORTAMENTO SUSPEITO DO VIDMATE

Durante os testes, cada aparelho realizou a atividade suspeita associada ao VidMate, permitindo que a equipe da Secure-D isolasse e examinasse o tráfego relevante.
Após o download, o aplicativo vem com um código inativo e oculto suspeito. Uma vez ativo no dispositivo, o Vidmate carrega este SDK de terceiros chamado Mango e o executa.

Por sua vez, o Mango se comunicava com um servidor de comando e controle que emitia instruções para a entrega de anúncios invisíveis ao dispositivo celular e simulação de cliques para acessar e confirmar assinaturas pagas. Embora estas visualizações e cliques tenham sido relatados como genuínos para as redes de anúncios, a atividade ocorreu em segundo plano e não foi visível para o usuário final. Na época da investigação (março de 2019), o aplicativo também começou a coletar informações pessoais dos usuários, tais como Identificação Internacional de Equipamento Móvel (IMEI), Identidade Internacional do Assinante de Celular (IMSI) ou endereço IP, sem requerer permissão do usuário, e transferi-las para servidores em Singapura de propriedade da Nonolive (http://nonolive.com/), uma empresa financiada pela Alibaba, de acordo com informações disponíveis publicamente.

A análise aprofundada revelou que o Mango iniciou conexões criptografadas com os domínios sty.zkmobi.com e online.hoversnake.com:1688. Essas conexões levaram o dispositivo a fazer solicitações contínuas a servidores de anúncios online e acessar páginas de destino onde o telefone tentou “se inscrever” em assinaturas digitais. Um dos muitos casos durante os testes foi um dispositivo celular que fez uma tentativa bem-sucedida de assinatura através do host gamerplus.mtn.co.za.

O fluxo sequencial das solicitações criptografadas que levaram a esta página de destino é o seguinte:

1. http://q-mobi.go2affise.com/click?pid=71&offer_id=1815671&sub1=1550710759520010291
2. http://ngdfx.com/WNedFFsJy?offer=11191&sub1=5c6df9caaf7c0a0001690d47&sub2=71
3. http://ad.efungame.net/jshyad/getad?adid=3509&paraid=4145&oliclick=05g6tehqt6qfj98
4. http://ptldynamic-gamerplus.mtn.co.za/0001vU?payid=190221WAkuxVN76jIEV3TesgCu&paraid=4145
5. http://gamerplus.mtn.co.za/LPBase/tok528/, que é a página de destino em que ocorreu a assinatura suspeita. Esta página contém o botão “Participe agora”, que completa a assinatura do usuário.

6. http://gamerplus.mtn.co.za/LPBase/tok528/subscribe?path=success&locale=en, que apresenta a página de agradecimento após a efetivação da assinatura.

O código utilizado foi intencionalmente ofuscado para impedir a engenharia reversa que poderia revelar sua verdadeira natureza. Este ofuscamento incluiu a minificação do código (remoção de todos os caracteres não estritamente necessários para a funcionalidade) e criptografia de cadeia de caracteres que não teve nenhum benefício óbvio em termos de segurança.
Exemplos de páginas de rede e banners de anúncios carregados pelo aplicativo em segundo plano e que são completamente invisíveis para o usuário:

COMO O VIDMATE ABUSA DAS PERMISSÕES

Com base no AndroidManifest.xml do VidMate, ficou claro que o aplicativo solicita permissões exageradas que um reprodutor e downloader de vídeo normal não precisa. Estes incluem o download e a instalação de outros softwares sem o consentimento do usuário, o que a investigação da Secure-D mostrou que o aplicativo realmente faz.

Alguns exemplos de permissões suspeitas são:

Permissão O que ela autoriza
android.permission.SYSTEM_ALERT_WINDOW Permite que o aplicativo crie janelas exibidas em cima de todas as outras, tornando-a uma permissão muito perigosa.
android.permission.REQUEST_INSTALL_PACKAGES/
android.permission.DOWNLOAD_WITHOUT_NOTIFICATION
Permite que o aplicativo instale e baixe outros aplicativos desconhecidos sem o conhecimento ou permissão do usuário.
android.permission.WRITE_SETTINGS Permite que o aplicativo leia ou grave as configurações do sistema.
android.permission.READ_LOGS Permite que o aplicativo acesse os arquivos de log do dispositivo do usuário, que podem conter informações sensíveis sobre o usuário.

TAMANHO E IMPACTO

Secure-D bloqueou mais de 128 milhões de tentativas de transações de celulares iniciadas pelo VidMate em 4,8 milhões de dispositivos únicos e, se não fosse bloqueado, teria totalizado até US$ 170 milhões em cobranças premium indesejadas.

A maior parte da atividade suspeita, que ainda está em andamento, estava em grande parte centrada em 15 países. 43 milhões das transações suspeitas sinalizadas pela Secure-D estão vindo de dispositivos no Egito, 27 milhões de Myanmar, 21 milhões do Brasil, 10 milhões do Qatar, e 8 milhões da África do Sul. Entre os principais mercados afetados estão também a Etiópia, Nigéria, Malásia e Kuwait. Estes são países onde os pagamentos digitais via tempo de conexão celular são comuns e muitas vezes a única maneira de fazer transações financeiras, já que a maioria das pessoas não tem conta bancária.

Os testes do laboratório da Secure-D também revelaram que o VidMate consome uma significativa vida útil da bateria e largura de banda, consumindo mais de 3GB de dados por mês. Isso poderia encarecer a conta de usuários que pagam US$ 100 por ano em tarifas de dados móveis. Em mercados como o Brasil, isto representa quase meio mês de trabalho pago com salário mínimo.

CONCLUSÕES, EFEITOS SOBRE OS USUÁRIOS E MITIGAÇÃO


A finalidade publicitária e as características do VidMate disfarçam a atividade sistemática suspeita em segundo plano, incluindo falsas visualizações de anúncios e tentativas de compras digitais. Embora a atividade seja parcialmente dirigida aos anunciantes, ela afeta os usuários das seguintes maneiras:

  • Aumento do uso de dados através da atividade em segundo plano não vista. Nossos testes de laboratório mostraram que o VidMate consome mais de 3GB de dados por mês, por usuário.
  • Cobranças por tempo de conexão não desejadas e inesperadas em serviços digitais premium.
  • Aumento do uso da bateria levando ao superaquecimento e outros problemas de desempenho.
  • Por último, mas não menos importante, o aplicativo – como visto no momento da investigação – também coleta informações pessoais dos usuários e as transfere para servidores em Singapura, pertencentes à Nonolive, uma empresa sediada na China e financiada pela Alibaba, de acordo com informações disponíveis publicamente. Estes dados pessoais do usuário poderão incluir a Identificação Internacional de Equipamento Móvel (IMEI), a Identidade Internacional do Assinante de Celular (IMSI) ou o endereço IP do usuário.

Se você é um usuário Android e fez o download de um aplicativo suspeito, fique atento a qualquer um dos sinais de infecção acima. A remoção do aplicativo deve resolver estes problemas. Você pode fazer isso seguindo os passos simples abaixo:
1º PASSO
Abra o menu Configurações em seu dispositivo
2º PASSO
Pressione em Meus aplicativos e jogos
3º PASSO
Navegue até a seção Instalados
4º PASSO
Pressione o Vidmate (talvez você precise rolar a tela para encontrá-lo)
5o PASSO
Pressione desinstalar

O VidMate é um lembrete dos graves perigos da instalação de software de outras fontes que não a loja oficial do Google Play. Os riscos financeiros e de privacidade de deixar aplicativos enganosos e abusivos em seu dispositivo simplesmente não valem a pena.

PARA OPERADORAS DE REDES DE TELEFONIA CELULAR, PROVEDORES E AGREGADORES DE CONTEÚDO, CLIENTES DA SECURE-D

A Secure-D tem bloqueado todas as atividades suspeitas por parte do VidMate desde seu início.

PARA ESPECIALISTAS EM SEGURANÇA DA INFORMAÇÃO

A Secure-D compartilha suas descobertas com a comunidade para ajudar a combater fraudes e eliminar as ameaças online. Para solicitar o APK infectado VidMate, a análise técnica completa, uma lista de aplicativos infectados, os profissionais de segurança podem entrar em contato pelo e-mail info@secure-d.io

A Secure-D colaborou com a BuzzFeed News para divulgar esta história. Você pode ler o que eles escreveram aqui.

Voltar

Compartilhar

Compartilhar

Não perca os nossos novos insights

Cadastre-se para receber nossos insights e notícias mais recentes. Fique por dentro.