Uma forma customizada e altamente direcionada de malware no Android está sendo implantada para conduzir a vigilância em indivíduos selecionados, de acordo com pesquisadores de segurança.
Descoberto pela empresa de segurança móvel Lookout, o trojan de acesso remoto Monokle é equipado com uma variedade de recursos intrusivos que permitem realizar espionagem em alvos.
Isso inclui keylogging, captura de fotos e vídeos, recuperação de históricos de aplicativos, incluindo navegadores da web, serviços de mídia social e mensageiros, rastreamento da localização do usuário e muito mais.
Além disso, a Monokle tem a capacidade de instalar certificados confiáveis que permitem o acesso root ao dispositivo. Isso permite que os invasores implantem recursos exclusivos em sua missão de roubar dados.
Grande parte disso é conseguida através da exploração de serviços de acessibilidade e adaptando-os para roubar dados de aplicativos de terceiros, bem como usando os dicionários de texto preditivo do usuário para obter insights sobre os tipos de tópicos que lhes interessam. O malware também pode gravar a tela quando ela está sendo desbloqueada para revelar a senha da vítima.
“O Monokle é um avançado e completo software de vigilância móvel”, disse à ZDNet Adam Bauer, engenheiro sênior de inteligência de segurança da equipe e um dos pesquisadores por trás da pesquisa. “Pode ser usado para qualquer objetivo que exija vigilância por meio de um dispositivo móvel”.
Embora o Monokle atualmente tenha apenas dispositivos Android, os pesquisadores dizem que várias amostras do malware contêm comandos não utilizados e objetos de transferência de dados que apontam para a existência de uma versão para iOS, sugerindo que o grupo gostaria de focar nos iPhones no futuro.
Acredita-se que o malware esteja ativo na natureza desde 2016, com pequenas explosões de atividade contra alvos na região do Cáucaso – que abrange a Armênia, o Azerbaijão e a Geórgia – bem como alvos na Síria. O número total de usuários comprometidos atualmente não é conhecido.
Ainda é incerto como o Monokle é distribuído, mas os pesquisadores observam que algumas amostras do malware são construídas em torno de versões trojanizadas de aplicativos reais, completas com a mesma aparência e funcionalidade – e que o phishing pode desempenhar um papel na entrega.
“Em ataques semelhantes, como o Dark Caracal, observamos o uso de ataques de phishing por meio de aplicativos de mensagens, SMS ou e-mails usados para distribuir esse tipo de malware”, disse Bauer.
A Lookout ligou a infra-estrutura por trás da Monokle ao Special Technology Center (STC), uma empresa russa que trabalha em São Petersburgo.
A STC foi uma das várias empresas russas sujeitas a sanções por parte do governo Obama em dezembro de 2016 por ser “cúmplice de atividades mal-intencionadas de ciber-habilitação“ contra os EUA. O contratante de defesa é uma das três empresas sancionadas por fornecer apoio material à Diretoria Principal de Inteligência (GRU) em campanhas de interferência eleitoral.
Pesquisadores dizem que a STC vem desenvolvendo um conjunto de aplicativos de segurança para Android que compartilham infraestrutura e links com o Monokle, incluindo o compartilhamento dos mesmos servidores de comando e controle.
Embora o Monokle não seja uma campanha generalizada, os pesquisadores dizem que o malware de vigilância ainda está sendo implementado ativamente.
A Lookout publicou mais de 80 Indicadores de Compromisso para a Monokle em sua análise completa do malware.
Publicado originalmente em ZDNet por Danny Palmer