Com a evolução constante da tecnologia de malware, também se desenvolvem os serviços que agentes maliciosos disponibilizam para aqueles que desejam ingressar no mundo da pirataria digital. Se um agente mal-intencionado busca infiltrar malware no seu dispositivo sem o seu conhecimento, ele pode contratar terceiros que oferecem “droppers como serviço” para facilitar essa invasão.
Nesse contexto, vamos explorar o conceito de “droppers como serviço” e apresentar maneiras de evitar ser uma vítima dessa prática.
O Que É Um Dropper?
Um dropper é um tipo de vírus cavalo de Troia que se camufla como algo inofensivo, mas esconde uma surpresa desagradável em seu interior. Os cavalos de Troia compartilham a característica de enganar o usuário ou o sistema, fazendo-os acreditar que são seguros; daí o nome inspirado no famoso cavalo de Troia da história.
Os droppers, por si só, não carregam código malicioso ativo. Isso significa que, ao realizar uma verificação com um antivírus, o programa dropper não será identificado como perigoso. Nessa fase inicial, o dropper tenta se estabelecer no computador do usuário, solicitando permissão para acessar serviços e arquivos específicos.
Como o usuário acredita na inofensividade do software dropper, ele acaba concedendo acesso a recursos que o malware precisa. Com essa permissão concedida, o dropper avança para a segunda etapa, estabelecendo contato com servidores de download de malware. Ele então procede com a instalação do malware no sistema, aproveitando as permissões recém-adquiridas para evitar suspeitas ou detecção.
Para uma compreensão mais aprofundada, você pode pesquisar sobre o que é um Trojan dropper.
O que é um “Dropper como Serviço”?
Droppers como serviço fazem parte de um conjunto maior de serviços que agentes maliciosos vendem no submundo digital. A expressão “como serviço” já deve ser familiar no contexto de malware, como em “ransomware como serviço”.
Nesse contexto específico, alguém que oferece droppers como serviço o faz por ter especialidade na programação desses programas e busca comercializar essa expertise no mercado clandestino. Sua clientela consiste em desenvolvedores de malware que já criaram uma carga maliciosa, mas necessitam de auxílio para implantá-la nos dispositivos de suas vítimas. Esses desenvolvedores recorrem aos fornecedores de droppers para burlar as soluções antivírus.
Os serviços de droppers podem ser encontrados a preços muito acessíveis no mercado negro. De acordo com um relatório do The Register, alguns serviços de dropper cobravam apenas US$ 2 por cada 1.000 implantações de malware, um valor irrisório para quem desenvolve malware que obtém lucro através de suas vítimas.
É importante notar, porém, que nem tudo que termina em “como serviço” é algo ruim. Por exemplo, a inteligência artificial como serviço possibilita que empresas e clientes contratem soluções de IA para finalidades legítimas.
Um Exemplo de Droppers como Serviço: SecuriDropper
Para ilustrar melhor o funcionamento dos droppers como serviço, vamos analisar um caso prático. O SecuriDropper é um tipo de dropper particularmente perigoso que ataca dispositivos Android, infectando-os através do método dropper.
Conforme relatado pelo Bleeping Computer, o SecuriDropper foi desenvolvido para driblar uma medida de segurança específica do Android 14. Ao tentar instalar um aplicativo que não foi baixado da loja oficial do Google Play, o acesso aos recursos mais sensíveis do seu telefone, como as configurações de acessibilidade, é bloqueado.
Para contornar essa proteção, um desenvolvedor de malware pode incorporar o SecuriDropper em um aplicativo aparentemente inofensivo e publicá-lo em um site de terceiros. Alguns aplicativos com SecuriDropper se disfarçam como aplicativos comuns; um deles foi descoberto se passando pelo Google Translate. O aplicativo em si não contém código malicioso, portanto não é detectado por verificações antivírus.
Em seguida, a vítima baixa o aplicativo e tenta instalá-lo. Durante a instalação, o aplicativo solicita permissão para acessar o armazenamento do telefone. Ao obter essa permissão, o aplicativo exibe uma mensagem de erro falsa, informando que a instalação falhou. Logo após, ele oferece um botão para o usuário, alegando que ao pressioná-lo, o aplicativo será reinstalado.
Se o usuário clicar no botão, o dropper envia um sinal para os servidores de download de malware para instalar a carga maliciosa. Como o usuário já permitiu que o aplicativo acesse o armazenamento do telefone, o dropper consegue instalar o malware de uma forma específica para que o Android 14 não o identifique como um aplicativo de origem desconhecida.
Consequentemente, o aplicativo pode solicitar permissões que aplicativos de terceiros normalmente não podem pedir. Se o usuário conceder essas permissões, o malware terá acesso a tudo o que precisa para concretizar seus objetivos.
O SecuriDropper foi utilizado no lançamento de vários tipos de malware. Por exemplo, algumas variantes instalam o SpyNote, que pode monitorar os dados do seu telefone, enquanto outras instalam um Trojan bancário que se disfarça como um navegador Chrome falso.
Como se Manter Seguro Contra Malware Dropper
Malwares do tipo Dropper podem parecer assustadores, mas eles geralmente são encontrados em sites de terceiros. Por isso, é sempre recomendável baixar aplicativos de fontes oficiais.
Se você estiver usando um computador, instale aplicativos somente de fontes confiáveis. Geralmente, você pode encontrar o aplicativo no site do desenvolvedor, mas alguns desenvolvedores usam um host externo para gerenciar os downloads. Em caso de dúvida, verifique se um site é seguro antes de baixar qualquer aplicativo.
Se o seu sistema operacional possui uma loja de aplicativos, baixar os aplicativos de lá é mais seguro do que obtê-los de sites de terceiros. Lojas como a Microsoft Store e o Google Play têm mecanismos de segurança para proteger os usuários de ameaças como droppers.
Dito isso, não é aconselhável confiar em todos os aplicativos que você encontra em uma loja oficial. Desenvolvedores de malware conseguem, por vezes, inserir aplicativos maliciosos nessas lojas, o que significa que o Google Play, por exemplo, não é 100% imune a malware.
Felizmente, as mesmas precauções que você pode tomar para identificar aplicativos falsos no Google Play se aplicam a outras lojas de aplicativos. Se algo em um aplicativo “parecer estranho”, evite fazer o download.
Prevenindo-se Contra Malware Dropper
Embora os droppers sejam um tipo de malware perigoso, você pode se proteger seguindo boas práticas ao baixar aplicativos. Agora que os droppers são oferecidos como serviço, a necessidade de se defender contra eles é maior do que nunca.