Descoberto novo spyware para Android que se disfarça de aplicações pornográficas
16 Outubro, 2020A pandemia tornou-se num tema comum para os agentes de ameaças, que, ao longo dos meses, foram lançando ataques de engenharia social que ainda hoje são relevantes. O grupo Transparent Tribe, um agente de ameaças monitorizado pela Kaspersky durante mais de quatro anos, também se começou a servir deste tema nas suas campanhas.
As recentes descobertas revelam que o grupo tem estado a trabalhar activamente na melhoria das suas ferramentas e do seu alcance para incluir ameaças em dispositivos móveis. Durante a investigação sobre o Transparent Tribe, a Kaspersky encontrou um implante de Android utilizado para espiar dispositivos móveis nos ataques que difundiu na Índia, servindo-se de aplicações falsas de rastreio à COVID-19 e de pornografia. A ligação entre o grupo e as duas aplicações foi feita através de domínios relacionados que o grupo utilizava para alojar ficheiros maliciosos para diferentes campanhas.
A primeira aplicação é uma versão modificada de um simples leitor de vídeo de código aberto para Android que, quando instalado, exibe um vídeo para adultos como distracção. A segunda aplicação infectada chama-se "Aarogya Setu", semelhante à aplicação móvel para rastreio da COVID-19, desenvolvida pelo Centro Nacional de Informática do Governo da Índia, que faz parte do Ministério da Eletrónica e das Tecnologias de Informação.
Assim que são descarregadas, as aplicações tentam instalar outro ficheiro Android - uma versão modificada da Ferramenta de Acesso Remoto do Android (RAT) AhMyth - um malware de código aberto descarregável a partir do GitHub, que foi construído ao ligar uma carga útil maliciosa a outras aplicações legítimas.
Novo spyware para Android disfarça-se de aplicações de pornografia e de rastreio à COVID-19
A versão modificada do malware apresenta funcionalidades diferentes da da standard. Inclui novas características adicionadas pelos hackers para melhorar a exfiltração de dados, tais como o roubo de imagens da câmara. A aplicação é capaz de descarregar novas aplicações para o telefone, aceder a mensagens SMS, ao microfone, ao registo de chamadas, localização do dispositivo, e listar e carregar ficheiros para um servidor externo a partir do telefone.
"As novas descobertas destacam o que os membros do Transparent Tribe têm feito para acrescentar novas ferramentas que permitam expandir ainda mais as suas operações e chegar às vítimas através de diferentes vetores de ataque, que agora incluem dispositivos móveis. Vemos também que o grupo está constantemente a trabalhar para melhorar e modificar as ferramentas que utiliza. Para permanecerem protegidos contra estas ameaças, os utilizadores devem ser mais cuidadosos do que nunca ao avaliar as fontes a partir das quais descarregam conteúdos e assegurar-se de que os seus dispositivos estão seguros. Isto é especialmente relevante para aqueles que sabem que podem ser alvo de um ataque APT", comenta Giampaolo Dedola, Investigador Sénior de Segurança da Equipa Global de Investigação e Análise da Kaspersky.
Mais informação detalhada sobre os indicadores de compromisso relacionados com este grupo, incluindo hashes de ficheiros e servidores C2, pode ser consultada no Portal de Inteligência de Ameaças da Kaspersky.
Para mais detalhes sobre as conclusões relacionadas com o Transparent Tribe, leia o relatório completo na Securelist.
Já deixou o seu like na nossa página do Facebook, no, Threads, do Instagram, do BlueSky e do X? Receba toda a informação em primeira mão. Siga-nos também no Google Notícias, basta seleccionar-nos entre os seus favoritos clicando na estrela.
Joel Pinto
Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.
