Uma campanha global de espionagem móvel que coleciona uma variedade de informações pessoais sensíveis das vítimas, já que pelo menos 2012 se revelou acidentalmente, graças a um servidor exposto na internet aberta.
É um dos primeiros exemplos conhecidos de uma operação bem sucedida de hackers em larga escala de telefones celulares em vez de computadores.
O grupo avançado de ameaças persistentes (APT), denominado Dark Caracal , afirmou ter roubado centenas de gigabytes de dados, incluindo informações de identificação pessoal e propriedade intelectual, de milhares de vítimas em mais de 21 países diferentes, de acordo com um novo relatório do Electronic Frontier Foundation (EFF) e empresa de segurança Lookout.
É um dos primeiros exemplos conhecidos de uma operação bem sucedida de hackers em larga escala de telefones celulares em vez de computadores.
O grupo avançado de ameaças persistentes (APT), denominado Dark Caracal , afirmou ter roubado centenas de gigabytes de dados, incluindo informações de identificação pessoal e propriedade intelectual, de milhares de vítimas em mais de 21 países diferentes, de acordo com um novo relatório do Electronic Frontier Foundation (EFF) e empresa de segurança Lookout.
Depois de filtrar erroneamente alguns de seus arquivos para a internet, o sombalhante grupo de hacking é rastreado até um prédio de propriedade da Direção Geral de Segurança Geral Libanesa (GDGS), uma das agências de inteligência do país, em Beirute.
"Com base na evidência disponível, é provável que o GDGS esteja associado ou apoie diretamente os atores por trás do Dark Caracal", diz o relatório.De acordo com o relatório de 51 páginas [ PDF ], o grupo APT visou "entidades que um país-estado poderia atacar", incluindo governos, militares, utilitários, instituições financeiras, empresas de fabricação, contratados de defesa, médicos, profissionais de educação , acadêmicos e civis de vários outros campos.
Os pesquisadores também identificaram pelo menos quatro pessoas diferentes associadas à infra-estrutura da Dark Caracal - ou seja, Nancy Razzouk, Hassan Ward, Hadi Mazeh e Rami Jabbour - com a ajuda do endereço de e-mail op13 @ mail [.] Com .
"Os detalhes de contato de Nancy presentes na informação WHOIS coincidiram com a lista pública de um indivíduo com base em Beirute com esse nome. Quando examinamos o número de telefone associado a Nancy na informação WHOIS, descobrimos o mesmo número listado no conteúdo exfiltrado e sendo usado por um indivíduo com o nome Hassan Ward ".
"Durante julho de 2017, o provedor de serviços de internet da Dark Caracal levou o servidor de comando e controle da rede adobeair [.] Offline. Em questão de dias, observamos que ele foi re-registrado no endereço de e-mail op13 @ mail [.] Com com o nome Nancy Razzouk. Isso nos permitiu identificar vários outros domínios listados sob a mesma informação de endereço de e-mail WHOIS, executando componentes de servidor semelhantes. "
Campanha multi-plataforma de espionagem cibernética
A Dark Caracal tem conduzido campanhas de ciberespionagem multi-plataforma e está ligada a 90 indicadores de compromisso (COI), incluindo 11 IOC de malware de Android, 26 IOCs de malware de desktop em Windows, Mac e Linux e 60 IOCs baseados em domínio / IP.No entanto, desde pelo menos 2012, o grupo já executou mais de dez campanhas de hacking destinadas principalmente a usuários de Android em pelo menos 21 países, incluindo América do Norte, Europa, Oriente Médio e Ásia.
Os dados roubados pela Dark Caracal em seus objetivos incluem documentos, registros de chamadas, mensagens de texto, gravações de áudio, conteúdo de cliente de mensagens seguras, histórico de navegação, informações de contato, fotos e dados de localização - basicamente todas as informações que permitem que o grupo APT identifique a pessoa e tenha uma visão íntima de sua vida.
Para fazer seu trabalho, a Dark Caracal não confiou em nenhuma "façanha de dia zero", nem teve que ter o malware na Google Play Store. Em vez disso, o grupo usou a engenharia social básica através de postagens em grupos do Facebook e mensagens da WhatsApp, incentivando os usuários a visitar um site controlado pelos hackers e permissões de aplicativos.
" Uma das coisas interessantes sobre este ataque em curso é que ele não exige uma exploração sofisticada ou dispendiosa. Em vez disso, tudo o que o Dark Caracal precisava eram permissões de aplicativos que os próprios usuários concederam ao baixar os aplicativos, sem perceber que continham malware " disse o técnico da equipe de funcionários EFF, Cooper Quintin.
" Esta pesquisa mostra que não é difícil criar uma estratégia que permita que pessoas e governos espionem alvos em todo o mundo " .
Veja como o Dark Caracal Group Infecta Usuários do Android
Uma vez que foram enganados para aterrar nos sites mal-intencionados, as vítimas receberam atualizações falsas para proteger aplicativos de mensagens, incluindo WhatsApp, Signal, Threema Telegram e Orbot (um cliente de código aberto do Tor para Android), que acabou por baixar o malware Dark Caracal, apelidado de Pallas , nos dispositivos móveis dos destinatários.Pallas é um pedaço de malware de vigilância que é capaz de tirar fotografias, roubar dados, espionar aplicativos de comunicação, gravar vídeo e áudio, adquirir dados de localização e roubar mensagens de texto, incluindo códigos de autenticação de dois fatores, dos dispositivos das vítimas.
"As amostras de Pallas dependem principalmente das permissões concedidas na instalação para acessar dados de usuários sensíveis. No entanto, há funcionalidades que permitem que um invasor instrua um dispositivo infectado a baixar e instalar aplicativos ou atualizações adicionais". relatório diz.
"Teoricamente, isso significa que é possível para os operadores por trás do Pallas empurrar módulos de exploração específicos para dispositivos comprometidos para obter acesso completo".Além de seu próprio malware personalizado, a Dark Caracal também usou o FinFisher - uma ferramenta de vigilância altamente secreta que muitas vezes é comercializada para autoridades policiais e governamentais - e uma ferramenta descoberta de spyware de desktop, chamada CrossRAT , que pode infectar Windows, Linux e OS X operando sistemas.
" Citizen Lab anteriormente sinalizou a Direção Geral de Segurança Geral em um relatório de 2015 como uma das duas organizações governamentais libanesas que usam o software FinWiff spyware5 ". relatório diz.De acordo com os pesquisadores, embora Dark Caracal tenha abordado os dispositivos MacOS e Windows em várias campanhas, pelo menos seis campanhas distintas do Android foram encontradas ligadas a um dos seus servidores que foram deixados abertos para análise, revelando 48 GB foi roubado de cerca de 500 telefones Android.
No geral, a Dark Caracal conseguiu roubar mais de 252.000 contatos, 485.000 mensagens de texto e 150.000 registros de chamadas de dispositivos Android infectados. Os dados sensíveis, como fotos pessoais, senhas bancárias e números PIN, também foram roubados.
A melhor maneira de se proteger de ataques de malware baseados em Android é sempre baixar aplicativos do mercado oficial da Google Play Store, em vez de qualquer site de terceiros.
FONTE:THEHACKERNEWS
Nice.
ResponderExcluir