Spyware Android espiona WhatsApp e Telegram
O malware Android vem do grupo de ameaças APT-C-23, também conhecido como Two-Tailed Scorpion e Desert Scorpion.
Os pesquisadores dizem que descobriram uma nova variante do spyware do Android com uma estratégia de comunicação de comando e controle atualizada e recursos de vigilância estendidos que espionam os aplicativos de mídia social WhatsApp e Telegram.
O malware, Android / SpyC32.A, está sendo usado atualmente em campanhas ativas visando vítimas no Oriente Médio. É uma nova variante de um malware existente operado pelo grupo de ameaças APT-C-23 (também conhecido como Two-Tailed Scorpion e Desert Scorpion). O APT-C-23 é conhecido por utilizar componentes do Windows e do Android e, anteriormente, tinha como alvo as vítimas no Oriente Médio com aplicativos para comprometer os smartphones Android.
“Nossa pesquisa mostra que o grupo APT-C-23 ainda está ativo, aprimorando seu conjunto de ferramentas móveis e executando novas operações”, de acordo com pesquisadores da ESET em um relatório divulgado na quarta-feira . “Android / SpyC32.A – a versão de spyware mais recente do grupo – apresenta várias melhorias que o tornam mais perigoso para as vítimas”.
As atividades do APT-C-23 – incluindo seu malware móvel – foram descritas pela primeira vez em 2017 por várias equipes de pesquisa de segurança. Enquanto isso, a versão atualizada, Android / SpyC23.A, está em uso desde maio de 2019 e foi detectada pela primeira vez por pesquisadores em junho de 2020.
As amostras de malware detectadas foram disfarçadas como um aplicativo de mensagens legítimo oferecido pelo Google Play. O aplicativo, chamado WeMessage, é malicioso, disseram os pesquisadores, e usa gráficos totalmente diferentes e não parece personificar o aplicativo legítimo a não ser pelo nome. Os pesquisadores disseram que esse aplicativo malicioso não possui nenhuma funcionalidade real e apenas serviu como isca para a instalação do spyware.
Os pesquisadores também disseram que não sabem como esse aplicativo WeMessage falso foi distribuído. Versões anteriores do malware foram distribuídas em aplicativos por meio de uma loja de aplicativos Android falsa, chamada loja “DigitalApps”. A loja de aplicativos falsos distribuiu tanto aplicativos legítimos quanto aplicativos falsos se passando por AndroidUpdate, Threema e Telegram. No entanto, os pesquisadores disseram que o falso aplicativo WeMessage não estava na loja “DigitalApps”.
Novas atualizações
Versões previamente documentadas deste spyware têm vários recursos, incluindo a capacidade de tirar fotos, gravar áudio, exfiltrar logs de chamadas, mensagens SMS e contatos e muito mais. Eles fariam isso solicitando uma série de permissões invasivas, usando técnicas semelhantes às da engenharia social para enganar usuários inexperientes tecnicamente.
Aplicativo WeMessage legítimo. Crédito: ESET
Esta versão mais recente estendeu os recursos de vigilância, visando especificamente as informações coletadas de mídia social e aplicativos de mensagens. O spyware agora pode gravar as telas das vítimas e fazer capturas de tela, gravar chamadas de entrada e saída no WhatsApp e ler texto de notificações de aplicativos de mídia social, incluindo WhatsApp, Facebook, Skype e Messenger.
O malware também utiliza uma tática em que cria uma sobreposição de tela em branco para colocar na tela do Android enquanto faz chamadas, o que o ajuda a ocultar sua atividade de chamada. Em outra técnica para ocultar sua atividade, o malware pode descartar suas próprias notificações. Os pesquisadores dizem que este é um recurso incomum, possivelmente usado em caso de erros ou avisos exibidos pelo malware.
Finalmente, a nova versão do malware pode dispensar notificações de aplicativos de segurança de segurança integrados para dispositivos Android (permitindo ocultar avisos de segurança de atividades suspeitas da vítima), incluindo notificações Samsung, notificações SecurityLogAgent em dispositivos Samsung, notificações de segurança MIUI em Xiaomi dispositivos e Phone Manager em dispositivos Huawei.
As comunicações C2 do malware também foram reformuladas. Em versões anteriores, o malware usava C2 codificado, disponível em texto simples ou trivialmente ofuscado – o que significa que era mais fácil de identificar. Na versão atualizada, no entanto, o C2 está bem escondido por meio de várias técnicas e pode ser alterado remotamente pelo invasor, tornando a detecção muito mais difícil, disseram os pesquisadores.
Outros avistamentos APT-C-23
Não é a primeira análise do APT-C-23 este ano. No início de 2020, a Check Point Research relatou novos ataques de malware móvel atribuídos ao grupo APT-C-23. Enquanto isso, em abril de 2020, @malwrhunterteam tuitou sobre uma nova variante do malware Android, que os pesquisadores – em cooperação com @malwrhunterteam – reconheceram ser parte das operações do APT-C-23. Então, em junho de 2020, @malwrhunterteam tuitou sobre outra amostra de malware Android, que foi conectada à amostra de abril.
Linha do tempo do malware APT-C-23. Crédito: ESET
Para evitar ser vítima de spyware, os pesquisadores aconselharam os usuários do Android a instalar apenas aplicativos da loja de aplicativos oficial do Google Play e a examinar as permissões dos aplicativos.
“Nos casos em que questões de privacidade, problemas de acesso ou outras restrições impeçam os usuários de seguir este conselho, os usuários devem tomar cuidado extra ao baixar aplicativos de fontes não oficiais”, disseram os pesquisadores. “Recomendamos examinar o desenvolvedor do aplicativo, verificar novamente as permissões solicitadas e usar uma solução de segurança móvel confiável e atualizada.”
Fonte: https://threatpost.com/new-android-spyware-whatsapp-telegram/159694/
