Malware no Android pode capturar fotos e vídeos e espionar histórico de aplicativos

Descrito como “software de vigilância móvel cheio de recursos”, Monokle vem equipado com recursos exclusivos que ajudam a conduzir a espionagem, de acordo com pesquisadores.

Uma forma customizada e altamente direcionada de malware no Android está sendo implantada para conduzir a vigilância em indivíduos selecionados, de acordo com pesquisadores de segurança.

Descoberto pela empresa de segurança móvel Lookout, o trojan de acesso remoto Monokle é equipado com uma variedade de recursos intrusivos que permitem realizar espionagem em alvos.

Isso inclui keylogging, captura de fotos e vídeos, recuperação de históricos de aplicativos, incluindo navegadores da web, serviços de mídia social e mensageiros, rastreamento da localização do usuário e muito mais.

Além disso, a Monokle tem a capacidade de instalar certificados confiáveis ​​que permitem o acesso root ao dispositivo. Isso permite que os invasores implantem recursos exclusivos em sua missão de roubar dados.

Grande parte disso é conseguida através da exploração de serviços de acessibilidade e adaptando-os para roubar dados de aplicativos de terceiros, bem como usando os dicionários de texto preditivo do usuário para obter insights sobre os tipos de tópicos que lhes interessam. O malware também pode gravar a tela quando ela está sendo desbloqueada para revelar a senha da vítima.

“O Monokle é um avançado e completo software de vigilância móvel”, disse à ZDNet Adam Bauer, engenheiro sênior de inteligência de segurança da equipe e um dos pesquisadores por trás da pesquisa. “Pode ser usado para qualquer objetivo que exija vigilância por meio de um dispositivo móvel”.

Embora o Monokle atualmente tenha apenas dispositivos Android, os pesquisadores dizem que várias amostras do malware contêm comandos não utilizados e objetos de transferência de dados que apontam para a existência de uma versão para iOS, sugerindo que o grupo gostaria de focar nos iPhones no futuro.

Acredita-se que o malware esteja ativo na natureza desde 2016, com pequenas explosões de atividade contra alvos na região do Cáucaso – que abrange a Armênia, o Azerbaijão e a Geórgia – bem como alvos na Síria. O número total de usuários comprometidos atualmente não é conhecido.

Ainda é incerto como o Monokle é distribuído, mas os pesquisadores observam que algumas amostras do malware são construídas em torno de versões trojanizadas de aplicativos reais, completas com a mesma aparência e funcionalidade – e que o phishing pode desempenhar um papel na entrega.



“Em ataques semelhantes, como o Dark Caracal, observamos o uso de ataques de phishing por meio de aplicativos de mensagens, SMS ou e-mails usados ​​para distribuir esse tipo de malware”, disse Bauer.

A Lookout ligou a infra-estrutura por trás da Monokle ao Special Technology Center (STC), uma empresa russa que trabalha em São Petersburgo.

A STC foi uma das várias empresas russas sujeitas a sanções por parte do governo Obama em dezembro de 2016 por ser cúmplice de atividades mal-intencionadas de ciber-habilitação contra os EUA. O contratante de defesa é uma das três empresas sancionadas por fornecer apoio material à Diretoria Principal de Inteligência (GRU) em campanhas de interferência eleitoral.

Pesquisadores dizem que a STC vem desenvolvendo um conjunto de aplicativos de segurança para Android que compartilham infraestrutura e links com o Monokle, incluindo o compartilhamento dos mesmos servidores de comando e controle.

Embora o Monokle não seja uma campanha generalizada, os pesquisadores dizem que o malware de vigilância ainda está sendo implementado ativamente.

A Lookout publicou mais de 80 Indicadores de Compromisso para a Monokle em sua análise completa do malware.

Publicado originalmente em ZDNet por Danny Palmer

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

%d blogueiros gostam disto: