É um dos primeiros exemplos conhecidos de uma operação bem sucedida de hackers em larga escala de telefones celulares em vez de computadores.
O grupo avançado de ameaças persistentes (APT), denominado Dark Caracal , afirmou ter roubado centenas de gigabytes de dados, incluindo informações de identificação pessoal e propriedade intelectual, de milhares de vítimas em mais de 21 países diferentes, de acordo com um novo relatório do Electronic Frontier Foundation (EFF) e empresa de segurança Lookout.
Depois de filtrar erroneamente alguns de seus arquivos para a internet, o sombalhante grupo de hacking é rastreado até um prédio de propriedade da Direção Geral de Segurança Geral Libanesa (GDGS), uma das agências de inteligência do país, em Beirute.
"Com base na evidência disponível, é provável que o GDGS esteja associado ou apoie diretamente os atores por trás do Dark Caracal", diz o relatório.De acordo com o relatório de 51 páginas [ PDF ], o grupo APT visou "entidades que um país-estado poderia atacar", incluindo governos, militares, utilitários, instituições financeiras, empresas de fabricação, contratados de defesa, médicos, profissionais de educação , acadêmicos e civis de vários outros campos.
Os pesquisadores também identificaram pelo menos quatro pessoas diferentes associadas à infra-estrutura da Dark Caracal - ou seja, Nancy Razzouk, Hassan Ward, Hadi Mazeh e Rami Jabbour - com a ajuda do endereço de e-mail op13 @ mail [.] Com .
"Os detalhes de contato de Nancy presentes na informação WHOIS coincidiram com a lista pública de um indivíduo com base em Beirute com esse nome. Quando examinamos o número de telefone associado a Nancy na informação WHOIS, descobrimos o mesmo número listado no conteúdo exfiltrado e sendo usado por um indivíduo com o nome Hassan Ward ".
"Durante julho de 2017, o provedor de serviços de internet da Dark Caracal levou o servidor de comando e controle da rede adobeair [.] Offline. Em questão de dias, observamos que ele foi re-registrado no endereço de e-mail op13 @ mail [.] Com com o nome Nancy Razzouk. Isso nos permitiu identificar vários outros domínios listados sob a mesma informação de endereço de e-mail WHOIS, executando componentes de servidor semelhantes. "
Campanha multi-plataforma de espionagem cibernética
No entanto, desde pelo menos 2012, o grupo já executou mais de dez campanhas de hacking destinadas principalmente a usuários de Android em pelo menos 21 países, incluindo América do Norte, Europa, Oriente Médio e Ásia.
Os dados roubados pela Dark Caracal em seus objetivos incluem documentos, registros de chamadas, mensagens de texto, gravações de áudio, conteúdo de cliente de mensagens seguras, histórico de navegação, informações de contato, fotos e dados de localização - basicamente todas as informações que permitem que o grupo APT identifique a pessoa e tenha uma visão íntima de sua vida.
Para fazer seu trabalho, a Dark Caracal não confiou em nenhuma "façanha de dia zero", nem teve que ter o malware na Google Play Store. Em vez disso, o grupo usou a engenharia social básica através de postagens em grupos do Facebook e mensagens da WhatsApp, incentivando os usuários a visitar um site controlado pelos hackers e permissões de aplicativos.
" Uma das coisas interessantes sobre este ataque em curso é que ele não exige uma exploração sofisticada ou dispendiosa. Em vez disso, tudo o que o Dark Caracal precisava eram permissões de aplicativos que os próprios usuários concederam ao baixar os aplicativos, sem perceber que continham malware " disse o técnico da equipe de funcionários EFF, Cooper Quintin.
" Esta pesquisa mostra que não é difícil criar uma estratégia que permita que pessoas e governos espionem alvos em todo o mundo " .
Veja como o Dark Caracal Group Infecta Usuários do Android
Pallas é um pedaço de malware de vigilância que é capaz de tirar fotografias, roubar dados, espionar aplicativos de comunicação, gravar vídeo e áudio, adquirir dados de localização e roubar mensagens de texto, incluindo códigos de autenticação de dois fatores, dos dispositivos das vítimas.
"As amostras de Pallas dependem principalmente das permissões concedidas na instalação para acessar dados de usuários sensíveis. No entanto, há funcionalidades que permitem que um invasor instrua um dispositivo infectado a baixar e instalar aplicativos ou atualizações adicionais". relatório diz.
"Teoricamente, isso significa que é possível para os operadores por trás do Pallas empurrar módulos de exploração específicos para dispositivos comprometidos para obter acesso completo".Além de seu próprio malware personalizado, a Dark Caracal também usou o FinFisher - uma ferramenta de vigilância altamente secreta que muitas vezes é comercializada para autoridades policiais e governamentais - e uma ferramenta descoberta de spyware de desktop, chamada CrossRAT , que pode infectar Windows, Linux e OS X operando sistemas.
" Citizen Lab anteriormente sinalizou a Direção Geral de Segurança Geral em um relatório de 2015 como uma das duas organizações governamentais libanesas que usam o software FinWiff spyware5 ". relatório diz.De acordo com os pesquisadores, embora Dark Caracal tenha abordado os dispositivos MacOS e Windows em várias campanhas, pelo menos seis campanhas distintas do Android foram encontradas ligadas a um dos seus servidores que foram deixados abertos para análise, revelando 48 GB foi roubado de cerca de 500 telefones Android.
No geral, a Dark Caracal conseguiu roubar mais de 252.000 contatos, 485.000 mensagens de texto e 150.000 registros de chamadas de dispositivos Android infectados. Os dados sensíveis, como fotos pessoais, senhas bancárias e números PIN, também foram roubados.
A melhor maneira de se proteger de ataques de malware baseados em Android é sempre baixar aplicativos do mercado oficial da Google Play Store, em vez de qualquer site de terceiros.
FONTE:THEHACKERNEWS
Nice.
ResponderExcluir