O código malicioso explora a vulnerabilidade Janus, descoberta no fim de 2017, para que os hackers faturem com a visualização da publicidade. A falha não afeta smartphones com Android 7 (Nougat) ou versões mais recentes do sistema do Google.

Mais de mil aplicativos para Android acessam seus dados sem permissão

Quer comprar celular, TV e outros produtos com desconto? Conheça o Compare TechTudo

O malware é distribuído por lojas alternativas de apps Android. Uma delas é a 9apps, ligada à Alibaba, gigante chinesa do e-commerce. Segundo a Check Point, a ameaça se disfarça como APKs de aplicativos populares para estimular a instalação. Para baixar esse tipo de programa, o usuário precisa, antes, remover manualmente as proteções do Android.

Uma vez no celular, o aplicativo abre caminho para a instalação do malware Agent Smith, disfarçado de uma suposta atualização do Google. Ele, por sua vez, analisa os demais apps instalados no aparelho e faz o download de uma lista de clones com modificações no código. Após o download em lote, o malware explora a vulnerabilidade Janus para substituir os apps legítimos sem levantar suspeitas.

Na sequência, os apps falsos entram em contato com redes de propagandas e começam a exibir banners de anúncios no telefone, e os hackers faturam com a visualização da publicidade. O APK que infiltra o malware no telefone fica com o ícone oculto, dificultando a identificação da raiz do problema. O levantamento da Check Point informa que, em média, cada vítima tem 112 apps trocados por versões falsificadas.

Até o momento, as funções do malware têm sido exploradas principalmente para obter rendimentos provenientes de anúncios, mas especialistas alertam que as possibilidades são inúmeras. Em tese, o código poderia falsificar também aplicativos de banco, desde que o original já esteja instalado em um celular com Android desatualizado.

Outra preocupação está relacionada à distribuição do ataque. Embora o fluxo de infecções tenha origem em lojas al