This post is also available in: Português
Enquanto finge ser uma atualização de sistema, trojan é capaz de tirar fotos, gravar áudios e, entre outros, acessar mensagens do WhatsApp.
Com grandes habilidades de spyware, foi descoberto um novo malware que rouba dados de dispositivos Android e é projetado para ser acionado automaticamente sempre que novas informações estiverem prontas para exfiltração.
Entretanto, não é um app disponível na Play Store, a loja oficial de aplicativos do Google, fingindo ter outras funções. O spyware só pode ser instalado por meio de lojas de aplicativos Android de terceiros, e se passa por um software de Atualização do Sistema.
Isso limita drasticamente o número de smartphones que podem ser infectados, já que a maioria dos usuários utiliza somente os apps listados na Play Store.
O malware também carece de um método para infectar outros dispositivos Android por conta própria, reforçando o fato de que seus recursos de propagação são limitados.
Rouba quase tudo
Entretanto, depois que ele entra, costuma fazer muito estrago. Afinal, quando se trata de roubar seus dados, este trojan de acesso remoto (RAT, na sigla em inglês) pode coletar e exfiltrar uma ampla gama de informações e enviar para o seu servidor de comando e controle. Assim, é capaz de roubar dados, mensagens, imagens e assumir o controle de telefones Android.
Dessa maneira, cibercriminosos podem gravar áudios e chamadas telefônicas, tirar fotos, revisar o histórico do navegador e, entre outros, acessar mensagens do WhatsApp.
O spyware coleta dados diretamente se tiver acesso root, ou usará os Serviços de Acessibilidade depois de enganar as vítimas para habilitar o recurso no dispositivo comprometido.
Ele também fará a varredura do armazenamento externo em busca de dados armazenados ou em cache, e coletará e entregará aos servidores C2 quando o usuário se conectar a uma rede Wi-Fi.
Bem escondido
Ao contrário de outros malwares projetados para roubar informações, o trojan em questão é acionado usando os receptores contentObserver e Broadcast do Android apenas quando algumas condições forem atendidas, como a adição de um novo contato, novas mensagens de texto ou novos aplicativos sendo instalados.
Os comandos recebidos através do serviço de mensagens Firebase iniciam ações como a gravação de áudio do microfone e a exfiltração de dados. Essa comunicação do Firebase é usada apenas para emitir os comandos, e um servidor C&C dedicado é usado para coletar os dados roubados usando uma solicitação POST.
O malware também exibe notificações falsas de atualização do sistema quando recebe novos comandos de seus mestres para camuflar sua atividade maliciosa. Além disso, oculta sua presença em dispositivos Android infectados ao jamais mostrar seu ícone nos menus.
Para evitar ainda mais a detecção, ele apenas rouba as miniaturas de vídeos e imagens que encontra, reduzindo assim o consumo de internet das vítimas – para evitar chamar atenção quanto à atividade de exfiltração de dados em segundo plano.
Além disso, ele exfiltra apenas os dados mais recentes, coletando detalhes de localização criados e fotos tiradas nos últimos minutos.
Nesse contexto, fica mais uma vez evidente o fato de que se deve evitar o uso de aplicativos vindos de fora das lojas oficiais. Isso significa que não passaram por qualquer verificação de segurança, podendo fazer diversos tipos de invasão sem que o usuário perceba. Assim, é mais um assunto que deve ser parte de treinamentos constantes em segurança digital para funcionários de empresas. Afinal, conhecimentos do tipo devem ser reforçados de tempos em tempos, mantendo assim uma força de trabalho mais atenta às armadilhas virtuais – que se renovam constantemente.
This post is also available in: Português
