A biblioteca de anúncios Vulna, utilizada no processo de desenvolvimento dos apps gratuitos da Google Play, possui funcionalidades que violam a privacidade do usuário e contêm uma grande quantidade de vulnerabilidades. Os aplicativos que usam essa ferramenta possuem mais de 200 milhões de downloads.

Como muitas outras bibliotecas de anúncios, a Vulna tem a capacidade de reunir informações confidenciais, como conteúdo de mensagens SMS, histórico de chamadas e lista de contatos, por exemplo. Além disso, segundo apurou a Kaspersky Lab, os anúncios também podem executar download de códigos nos dispositivos onde o app está instalado.

A lista de vulnerabilidades que afeta este serviço publicitário permite aos cibercriminosos explorar estes bugs, controlando as funções da rede de anúncios e usando-as de forma maliciosa para atacar os dispositivos do usuário. Ou seja, milhões de dispositivos que recebem esta publicidade podem ser vítimas de cibercriminosos.

Tendo em conta que a maioria das vulnerabilidades está relacionada com a falta de criptografia dos dados transferidos entre os servidores da Vulna e os dispositivos dos usuários, um criminoso com conhecimentos suficientes poderia roubar os códigos de verificação enviados através de SMS; visualizar as fotos e arquivos armazenados; instalar aplicações ou ícones maliciosos na tela inicial; apagar arquivos e dados; fazer chamadas telefônicas e até mesmo usar a câmera de forma secreta.

Por meio dessas vulnerabilidades também é possível espiar através de redes WiFi, instalar um malware de botnet e atacar os servidores da Vulna, podendo redirecionar o tráfego da rede para qualquer página controlada pelo cibercriminoso.  

Tanto o Google como a empresa responsável já desenvolveram inúmeros esforços no sentido de resolver a situação. O Google Play já eliminou uma série de aplicações abusivas e muitos programadores atualizaram os seus softwares com uma versão da Vulna menos invasiva ou, em alguns casos, eliminaram esta rede.

Além disso, muitos usuários não instalam as atualizações de seus apps e, por este motivo, permanecem vulneráveis a esta ameaça. A extimativa é que 166 milhões de downloads ainda contenham a versão “má” do Vulna.