Pesquisadores de segurança descobriram uma nova e poderosa estrutura de malware para Android que está sendo usada por criminosos cibernéticos para transformar aplicativos legítimos em spywares com extensas capacidades de vigilância - como parte do que parece ser uma campanha de espionagem direcionada.
Aplicativos legítimos do Android, quando integrados à estrutura de malware, chamada Triout, ganham recursos para espionar dispositivos infectados, gravando chamadas telefônicas e monitorando mensagens de texto, roubando fotos e vídeos secretamente e coletando dados de localização - tudo isso sem o conhecimento dos usuários.
A tensão dos aplicativos de spyware baseados em Triout foi identificada pela primeira vez pelos pesquisadores de segurança da Bitdefender em 15 de maio, quando uma amostra do malware foi carregada no VirusTotal por alguém localizado na Rússia, mas a maioria dos scans veio de Israel.
Em um papel branco (PDF)publicado segunda-feira, o pesquisador da Bitdefender Cristofor Ochinca disse que a amostra de malware analisada por eles foi empacotada dentro de uma versão maliciosa de um aplicativo Android que estava disponível no Google Play em 2016, mas que já foi removido.
O malware é extremamente furtivo, já que a versão remontada do aplicativo para Android manteve a aparência e a funcionalidade do aplicativo original e funciona exatamente como ele - nesse caso, o pesquisador analisou um aplicativo adulto chamado "Sex Game" - para enganar suas vítimas.
No entanto, na realidade, o aplicativo contém uma carga útil mal-intencionada do Triout que possui poderosos recursos de vigilância que roubam dados dos usuários e os envia de volta a um servidor de comando e controle (C & C) controlado pelo invasor.
Segundo o pesquisador, a Triout pode realizar muitas operações de espionagem, uma vez que compromete um sistema, incluindo:
- Gravando cada chamada telefônica, salvando-a na forma de um arquivo de mídia e, em seguida, enviando-a junto com o identificador de chamadas para um servidor C & C remoto.
- Registrando todas as mensagens SMS recebidas no servidor C & C remoto.
- Enviando todos os logs de chamadas (com nome, número, data, tipo e duração) para o servidor C & C.
- Envio de todas as fotos e vídeos para os invasores sempre que o usuário tirar uma foto ou gravar um vídeo, seja com a câmera frontal ou traseira.
- Capacidade de se esconder no dispositivo infectado.
"Isso pode sugerir que o framework pode ser um trabalho em progresso, com desenvolvedores testando recursos e compatibilidade com dispositivos", disse Ochinca.
"O servidor C & C (comando e controle) para o qual o aplicativo parece estar enviando dados coletados parece estar operacional, até o momento, e está em execução desde maio de 2018."
Embora os pesquisadores não conseguissem descobrir como essa versão remontada do aplicativo legítimo estava sendo distribuída e quantas vezes ela foi instalada com êxito, eles acreditam que o aplicativo mal-intencionado foi entregue às vítimas por meio de armazenamentos de aplicativos de terceiros ou por outros domínios controlados por invasores provavelmente usado para hospedar o malware.
Ochinca explica que a amostra analisada do Triout ainda estava assinada com um autêntico Certificado de Depuração do Google.
Na época, nenhuma evidência aponta para os invasores, ou para determinar quem eles são e de onde eles são, mas o que é claro é que os atacantes são altamente qualificados e cheios de recursos para desenvolver uma forma sofisticada de uma estrutura de spyware.
A melhor maneira de se proteger de evitar vítimas em aplicativos mal-intencionados é sempre fazer o download de aplicativos de fontes confiáveis, como o Google Play Store, e ficar apenas com desenvolvedores verificados.
Além disso, o mais importante, pense duas vezes antes de conceder qualquer permissão ao aplicativo para ler suas mensagens, acesse seus registros de chamadas, suas coordenadas de GPS e quaisquer outros dados obtidos por meio dos sensores do Android.
FONTE:THEHACKEREWS
Na época, nenhuma evidência aponta para os invasores, ou para determinar quem eles são e de onde eles são, mas o que é claro é que os atacantes são altamente qualificados e cheios de recursos para desenvolver uma forma sofisticada de uma estrutura de spyware.
A melhor maneira de se proteger de evitar vítimas em aplicativos mal-intencionados é sempre fazer o download de aplicativos de fontes confiáveis, como o Google Play Store, e ficar apenas com desenvolvedores verificados.
Além disso, o mais importante, pense duas vezes antes de conceder qualquer permissão ao aplicativo para ler suas mensagens, acesse seus registros de chamadas, suas coordenadas de GPS e quaisquer outros dados obtidos por meio dos sensores do Android.
FONTE:THEHACKEREWS
Comentários
Postar um comentário