Segurança

Malware no Android pode capturar fotos e vídeos e espionar histórico de aplicativos

Uma forma customizada e altamente direcionada de malware no Android está sendo implantada para conduzir a vigilância em indivíduos selecionados, de acordo com pesquisadores de segurança.

Descoberto pela empresa de segurança móvel Lookout, o trojan de acesso remoto Monokle é equipado com uma variedade de recursos intrusivos que permitem realizar espionagem em alvos.

Isso inclui keylogging, captura de fotos e vídeos, recuperação de históricos de aplicativos, incluindo navegadores da web, serviços de mídia social e mensageiros, rastreamento da localização do usuário e muito mais.

Além disso, a Monokle tem a capacidade de instalar certificados confiáveis ​​que permitem o acesso root ao dispositivo. Isso permite que os invasores implantem recursos exclusivos em sua missão de roubar dados.

Grande parte disso é conseguida através da exploração de serviços de acessibilidade e adaptando-os para roubar dados de aplicativos de terceiros, bem como usando os dicionários de texto preditivo do usuário para obter insights sobre os tipos de tópicos que lhes interessam. O malware também pode gravar a tela quando ela está sendo desbloqueada para revelar a senha da vítima.

“O Monokle é um avançado e completo software de vigilância móvel”, disse à ZDNet Adam Bauer, engenheiro sênior de inteligência de segurança da equipe e um dos pesquisadores por trás da pesquisa. “Pode ser usado para qualquer objetivo que exija vigilância por meio de um dispositivo móvel”.

Embora o Monokle atualmente tenha apenas dispositivos Android, os pesquisadores dizem que várias amostras do malware contêm comandos não utilizados e objetos de transferência de dados que apontam para a existência de uma versão para iOS, sugerindo que o grupo gostaria de focar nos iPhones no futuro.

Acredita-se que o malware esteja ativo na natureza desde 2016, com pequenas explosões de atividade contra alvos na região do Cáucaso – que abrange a Armênia, o Azerbaijão e a Geórgia – bem como alvos na Síria. O número total de usuários comprometidos atualmente não é conhecido.

Ainda é incerto como o Monokle é distribuído, mas os pesquisadores observam que algumas amostras do malware são construídas em torno de versões trojanizadas de aplicativos reais, completas com a mesma aparência e funcionalidade – e que o phishing pode desempenhar um papel na entrega.



“Em ataques semelhantes, como o Dark Caracal, observamos o uso de ataques de phishing por meio de aplicativos de mensagens, SMS ou e-mails usados ​​para distribuir esse tipo de malware”, disse Bauer.

A Lookout ligou a infra-estrutura por trás da Monokle ao Special Technology Center (STC), uma empresa russa que trabalha em São Petersburgo.

A STC foi uma das várias empresas russas sujeitas a sanções por parte do governo Obama em dezembro de 2016 por ser cúmplice de atividades mal-intencionadas de ciber-habilitação contra os EUA. O contratante de defesa é uma das três empresas sancionadas por fornecer apoio material à Diretoria Principal de Inteligência (GRU) em campanhas de interferência eleitoral.

Pesquisadores dizem que a STC vem desenvolvendo um conjunto de aplicativos de segurança para Android que compartilham infraestrutura e links com o Monokle, incluindo o compartilhamento dos mesmos servidores de comando e controle.

Embora o Monokle não seja uma campanha generalizada, os pesquisadores dizem que o malware de vigilância ainda está sendo implementado ativamente.

A Lookout publicou mais de 80 Indicadores de Compromisso para a Monokle em sua análise completa do malware.

Publicado originalmente em ZDNet por Danny Palmer

Eder Oelinton

Jornalista, amante de tecnologia e curioso por natureza. Busco informações todos os dias para publicar para os leitores evoluírem cada dia mais. Além de muitas postagens sobre varias editorias!

Artigos relacionados

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Botão Voltar ao topo