Uma versão falsa do popular app Dubsmash foi identificada pela Avast na loja de aplicativos do Android. Chamado de Dubsmash 2, o programa era na verdade um “porn clicker”, que executava um script e fazia com os smartphones navegassem por sites de conteúdo pornográfico sem que os usuários notassem.

Já removido pelo Google, o aplicativo tinha entre 100 mil e 500 mil downloads. Quando baixado e instalado, ele não incluía um ícone de Dubsmash na lista, e sim um similar ao de configurações do Android, chamado de Setting IS. Ao tocar no ícone, o usuário era redirecionado às configurações do aparelho e rodava, sem saber, o app malicioso.

De acordo com o relato da Avast, o “programa enviava uma solicitação HTTP GET a uma URL cifrada”, que mandava de volta uma cadeia de caracteres. Se nela estivesse um “1”, “dois serviços começariam a funcionar: o MyService e o Streaming”, segundo o texto.

O primeiro desses processos era quem fazia toda a “mágica” envolvendo pornografia, que começava com a remoção do ícone do Setting IS. Uma lista de links para sites pornôs e um código de execução em JavaScript eram baixados em seguida, e um dos endereços da seleção era aberto no navegador. Dez segundos depois, o script começava a funcionar, clicando sozinho em outros links dentro da página. O processo começava de novo a cada minuto.

Já o segundo serviço, o Streaming, era menos discreto, mas também rodava automaticamente a cada 60 segundos. “O processo procurava por mudanças no endereço IP ou na data do dispositivo”, segundo a Avast. Se qualquer um deles fosse alterado, um vídeo – cujo endereço também vinha de uma URL criptografada – era executado no app do YouTube.

Pelos resultados das análises, os pesquisadores suspeitam que o app malicioso tenha saído da Turquia. Seu desenvolvedor, por sua vez, devia utilizá-lo para ganhos financeiros a partir de cliques em anúncios nos sites listados, segundo o relatório oficial.

Se você por acaso baixou e instalou esse Dubsmash 2 falsificado (identificado pelo nome de pacote com.table.hockes), basta remover o Settings IS da lista de apps do Android para eliminar a ameaça. E nas próximas vezes que for baixar algo na Play Store, fique atento ao nome dos desenvolvedores para fugir de ciladas.

Fonte: Avast