O FaceApp é um vírus ou instala publicidade abusiva no celular?

Por - em 5 anos atrás 924

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem

Dúvidas sobre o FaceApp

Não instalei esse App [FaceApp] em meu smartphone, mas de segundos em segundos aparecem propagandas em meu dispositivo e não consigo remover. Como devo fazer? – Daniela Sanches

É verdade do que dizem do App de envelhecimento, se trata de vírus ou hacker? – Carlos Alberto

O FaceApp não é um programa malicioso. Como este blog já explicou, a desenvolvedora do aplicativo é uma empresa pequena – uma startup – que tomou medidas para corte de custos, usando contratos simples e mecanismos para poupar com burocracia.

Embora sejam práticas suspeitas em determinados contextos, também são práticas válidas que podem ajudar uma empresa a controlar seus custos enquanto está crescendo.

Alguns sites alertaram sobre a questão do acordo de privacidade adotado pelo aplicativo, que é bastante vago justamente por não ter sido escrito especificamente para as funcionalidades do programa.

Só que essa questão do acordo de privacidade é muito secundária: não importa o que diga o documento, pouquíssimas pessoas teriam condições de acionar tribunais na Rússia para garantir a validade do que está escrito.

De todo modo, vale repetir: o FaceApp não é um vírus e nem foi associado a hackers. Isso vale para o FaceApp legítimo disponível na Play Store.

Caso você tenha instalado uma versão falsa do aplicativo, fora da Play Store, é possível que essa versão adulterada do FaceApp (ou de qualquer outro programa) realize atividades indesejadas no celular. A exibição de anúncios invasivos é uma das práticas mais comuns.

Isso que está acontecendo em seu celular, Daniela, pode ter relação com algum outro aplicativo instalado em seu celular. Infelizmente, muitos aplicativos responsáveis por essas propagandas abusivas também fazem o possível para ocultar a origem dos anúncios. Em vários casos, o aplicativo responsável até some da lista de aplicativos instalados.

Por isso, o caminho mais rápido para resolver esse tipo de problema no celular é usando a restauração das configurações de fábrica.

Recomenda-se realizar o backup dos dados antes de prosseguir, já que a restauração apaga todos os dados do telefone. Não se esqueça de sincronizar fotos com serviços de armazenamento em nuvem (como o Google Fotos), já que isso é uma configuração separada.

Em seguida, realize a restauração seguindo os passos informados pelo Google. Se esses passos não forem idênticos em seu celular, procure as orientações do fabricante.

Trabalho remoto e contaminação por vírus

“Trabalho de casa, acessando o computador (servidor) de um escritório de contabilidade pela Conexão de Área de Trabalho Remota. Tenho um login e senha que foram criados pelo administrador da rede do escritório.

No meu acesso, abro um programa de contabilidade onde faço a minhas digitações. Não abro nenhuma página de Internet lá no servidor. Se preciso ver algo na internet, minimizo a minha conexão remota e abro o navegador aqui no meu computador. Para ler os e-mails que recebo dos clientes do escritório, utilizo o Outlook instalado no meu computador.

Acontece que das 3 vezes em que o servidor teve os dados invadidos, eu fui o único que estava conectado ao servidor via acesso remoto. Aliás, sou o único que utiliza o acesso remoto. Os demais funcionários acessam via rede local lá no escritório.

Desta última vez, pegamos o [Bad] Rabbit, onde o técnico disse que a contaminação foi através do Adobe Flash Player e nos enviou o link do G1 para gente ler e tomar ciência. Afirmou que alguém atualizou o Adobe flash através de uma página falsa.

A minha dúvida é:

Se eu tivesse atualizado o Adobe Flash na minha máquina, eu também não estaria com os meus arquivos corrompidos, sequestrados, enfim? Ou ao atualizar a minha máquina, através desta página falsa, o [Bad] Rabbit somente iria se manifestar após eu me conectar com o servidor invadindo e sequestrando o servidor?

Todos os meus arquivos aqui de casa estão intactos. Já passei antivírus, programas de malware, enfim… não encontrei nada. – João Batista”

João, há vários temas envolvidos nessa sua pergunta – que tem muito a ver com a tendências de home office e trabalho remoto. O primeiro fato a ser analisado é o caso concreto do vírus “Bad Rabbit”: esse vírus foi distribuído na Rússia e na Ucrânia em 2017. Ele não faz parte das pragas atuais e nunca foi relevante no Brasil.

Sendo assim, se o vírus em questão não foi o Bad Rabbit, não é muito produtivo falarmos especificamente desse vírus. Pode ser que o ataque tenha ocorrido a partir de outras pragas. Existem inúmeros vírus que são distribuídos por atualizações falsas do Flash Player, então esta característica não é suficiente para identificar o código responsável pelo ataque.

Segundo, como você não abre páginas no servidor, segundo o seu relato, não é possível que o vírus tenha sido executado por você. O vírus teria de estar em seu computador e, de alguma forma, pulado para o servidor pelo acesso remoto. No caso do Bad Rabbit, isso é impossível – a praga não tem essa função.

Se existe algum outro vírus no seu computador que foi programado para atacar através da área de trabalho remota, ele poderia, sim, cruzar essa ponte e atacar apenas o servidor que você acessa. Ele poderia inclusive permanecer ocioso em seu computador para garantir esse acesso. Mas isso é apenas uma hipótese pouco provável que só deve ser considerada depois de muitas outras serem eliminadas.

Supondo que seu computador esteja realmente contaminado com vírus, o mais provável seria algum vírus ladrão de senhas em seu computador que roubou suas credenciais (o login e senha) do acesso remoto para, posteriormente, o hacker utilizar essa senha para atacar o servidor diretamente.

Porém, mesmo que seu computador esteja contaminado e que sua senha tenha sido roubada, o acesso que você tem ao servidor é delimitado pelas permissões do seu usuário. Isso quer dizer que, se o seu usuário não tem permissão para modificar o sistema, a contaminação teria que ficar isolada ao seu usuário no servidor.

Se a contaminação não ficou isolada ao seu usuário, há duas possibilidades: ou o seu usuário não foi configurado de forma segura ou o servidor tem algum outro problema de segurança sem qualquer relação com o seu acesso.

O mais provável é que o servidor tenha, sim, problemas na configuração de segurança. Infelizmente, erros de configuração e manutenção do sistema são bastante comuns. Esses erros abrem brechas para que hackers e vírus ataquem servidores de acesso remoto: como esses computadores ficam expostos na internet, eles precisam de uma segurança um pouco diferenciada.

A própria Área de Trabalho Remota pode expor o servidor para ataques on-line. É imprescindível atualizar o sistema e garantir que nenhum usuário configurado para login na máquina tenha uma senha fraca – se houver, o servidor certamente será invadido.

Não são medidas complicadas. Porém, como o servidor é muitas vezes o “coração” de um escritório, a regra de “não mexer em time que está ganhando” acaba empurrando para depois essas medidas de manutenção, dando tempo suficiente para que criminosos se aproveitem das falhas.

G1