Pesquisadores de segurança da Cisco Talos descobriram variantes de um novo Trojan Android que está sendo distribuído disfarçado de falso aplicativo anti-vírus, apelidado de “Naver Defender”.
Apelidado de KevDroid, o malware é uma ferramenta de administração remota (RAT) projetada para roubar informações confidenciais de dispositivos Android comprometidos, bem como capaz de gravar chamadas telefônicas.
Pesquisadores da Talos publicaram nesta segunda-feira detalhes técnicos sobre duas variantes recentes do KevDroid detectadas na natureza, após a descoberta inicial do cavalo de Troia pela empresa sul-coreana de segurança cibernética ESTsecurity há duas semanas.
Embora os pesquisadores não tenham atribuído o malware a nenhum hacker ou grupo patrocinado pelo Estado, a mídia sul-coreana ligou o KevDroid ao grupo de hackers de espionagem cibernética patrocinado pelo governo da Coréia do Norte, o “Grupo 123”, conhecido principalmente por atingir alvos sul-coreanos.
A variante mais recente do malware KevDroid, detectada em março deste ano, tem os seguintes recursos:
gravar chamadas telefônicas e áudio;
roubar histórico e arquivos da web;
ganhar acesso root;
Roubar logs de chamadas, SMS, e-mails;
Coletar a localização do dispositivo a cada 10 segundos;
coletar uma lista de aplicativos instalados.
O malware usa uma biblioteca de código aberto, disponível no GitHub, para obter a capacidade de registrar chamadas de entrada e saída do dispositivo Android comprometido.
Embora ambas as amostras de malware tenham as mesmas capacidades de roubar informações sobre o dispositivo comprometido e gravar as chamadas telefônicas da vítima, uma das variantes até explora uma falha conhecida do Android (CVE-2015-3636) para obter acesso root no dispositivo comprometido.
Todos os dados roubados são então enviados para um servidor de comando e controle (C2) controlado pelo invasor, hospedado na Rede de Fluxo de Dados global da PubNub, usando uma solicitação HTTP POST
“Se um adversário obtiver sucesso em obter algumas das informações que o KevDroid é capaz de coletar, isso pode resultar em uma série de problemas para a vítima,” resultando no “vazamento de dados, o que poderia levar a várias coisas, como o seqüestro de um ente querido, chantagem usando imagens ou informações consideradas secretas, coleta de credenciais, acesso a token multifator (SMS MFA), implicações bancárias / financeiras e acesso a informações privilegiadas, talvez por meio de e-mails / textos “, diz Talos.
Os pesquisadores também descobriram outro RAT, projetado para usuários do Windows, compartilhando o mesmo servidor C&C e também usando a PubNub API para enviar comandos para os dispositivos comprometidos.
Como manter seu smartphone seguro
Os usuários do Android são aconselhados a verificar regularmente os aplicativos instalados em seus dispositivos para encontrar e remover se algum aplicativo mal-intencionado/desconhe
Embora ambas as amostras de malware tenham as mesmas capacidades de roubar informações sobre o dispositivo comprometido e gravar as chamadas telefônicas da vítima, uma das variantes até explora uma falha conhecida do Android (CVE-2015-3636) para obter acesso root no dispositivo comprometido.
Todos os dados roubados são então enviados para um servidor de comando e controle (C2) controlado pelo invasor, hospedado na Rede de Fluxo de Dados global da PubNub, usando uma solicitação HTTP POST
“Se um adversário obtiver sucesso em obter algumas das informações que o KevDroid é capaz de coletar, isso pode resultar em uma série de problemas para a vítima,” resultando no “vazamento de dados, o que poderia levar a várias coisas, como o seqüestro de um ente querido, chantagem usando imagens ou informações consideradas secretas, coleta de credenciais, acesso a token multifator (SMS MFA), implicações bancárias / financeiras e acesso a informações privilegiadas, talvez por meio de e-mails / textos “, diz Talos.
Os pesquisadores também descobriram outro RAT, projetado para usuários do Windows, compartilhando o mesmo servidor C&C e também usando a PubNub API para enviar comandos para os dispositivos comprometidos.
Como manter seu smartphone seguro
Os usuários do Android são aconselhados a verificar regularmente os aplicativos instalados em seus dispositivos para encontrar e remover se algum aplicativo mal-intencionado/desconhecido/desnecessário estiver na lista sem seu conhecimento ou consentimento.
Esse malware para Android também pode ser usado para segmentar seus dispositivos, portanto, se você tiver um dispositivo Android, é altamente recomendável seguir estas etapas simples para ajudar a evitar que isso aconteça com você:
Nunca instale aplicativos de lojas de terceiros.
Verifique se você já optou pelo Google Play Protect.
Ative o recurso “verificar aplicativos” nas configurações.
Manter “fontes desconhecidas” desativadas enquanto não estiver sendo usado.
Instale software antivírus e de segurança de um fornecedor de segurança cibernética bem conhecido.
Faça backup regularmente do seu telefone.
Sempre use um aplicativo de criptografia para proteger informações confidenciais no telefone.
Nunca abra documentos que você não esteja esperando, mesmo que pareça que seja de alguém que você conhece.
Proteja seus dispositivos com PIN ou bloqueio de senha para que ninguém possa obter acesso não autorizado ao seu dispositivo quando permanecer sem supervisão.
Mantenha seu dispositivo sempre atualizado com os últimos patches de segurança.
cido/desnecessário estiver na lista sem seu conhecimento ou consentimento.
Esse malware para Android também pode ser usado para segmentar seus dispositivos, portanto, se você tiver um dispositivo Android, é altamente recomendável seguir estas etapas simples para ajudar a evitar que isso aconteça com você:
Nunca instale aplicativos de lojas de terceiros.
Verifique se você já optou pelo Google Play Protect.
Ative o recurso “verificar aplicativos” nas configurações.
Manter “fontes desconhecidas” desativadas enquanto não estiver sendo usado.
Instale software antivírus e de segurança de um fornecedor de segurança cibernética bem conhecido.
Faça backup regularmente do seu telefone.
Sempre use um aplicativo de criptografia para proteger informações confidenciais no telefone.
Nunca abra documentos que você não esteja esperando, mesmo que pareça que seja de alguém que você conhece.
Proteja seus dispositivos com PIN ou bloqueio de senha para que ninguém possa obter acesso não autorizado ao seu dispositivo quando permanecer sem supervisão.
Mantenha seu dispositivo sempre atualizado com os últimos patches de segurança.
Fonte: The Hacker News
