Conheça Monokle, uma Família de Malware Android Capaz de Roubar e Alterar Senhas
O Special Technology Center (STC) é uma empresa de desenvolvimento de software sediada em São Petersburgo, na Rússia, e o governo americano não ficou particularmente feliz com isso. Em 2016, Barack Obama impôs sanções ao STC porque seu governo acreditava que era uma das três empresas que ajudaram o governo russo a interferir nas eleições presidenciais dos EUA em 2016. Acredita-se que muitos especialistas sofisticados e talentosos trabalhem para a STC, e os pesquisadores da empresa de segurança Lookout parecem convencidos de que os mesmos especialistas são responsáveis pela criação de uma variedade de malware Android anteriormente não documentada chamada Monokle.
Índice
Monokle e a conexão STC
Como descobriremos em um minuto, o Monokle é um dispositivo de vigilância móvel extremamente sofisticado e versátil, e porque esses aplicativos maliciosos geralmente são desenvolvidos por pessoas que sabem o que estão fazendo, frequentemente, atribuindo-os a um grupo específico de hackers é quase impossível. Os especialistas da Lookout pensam, no entanto, que há muitas evidências ligando o Monokle ao STC.
De acordo com o relatório técnico da Lookout , a STC está no ramo de desenvolver, entre outras coisas, um pacote de produtos defensivos para dispositivos Android que supostamente é vendido exclusivamente para agências do governo russo. A empresa também possui um aplicativo de painel de controle chamado App Control, através do qual o restante dos serviços da STC é gerenciado. Quando os especialistas da Lookout analisaram, eles viram que o App Control está tentando descobrir se o Monokle está instalado no dispositivo.
Além disso, um dos produtos mais conhecidos da STC é um aplicativo antivírus Android chamado Defender. Depois de examinar de perto a infraestrutura de comando e controle da Monokle (C & C), a equipe da Lookout percebeu que algumas delas se sobrepõem aos servidores de backend que o Defender usa. Além disso, havia certificados que também eram compartilhados entre os produtos de segurança da STC e a Monokle.
Se os pesquisadores da Lookout estiverem certos, e a Monokle realmente foi criada pela STC, os desenvolvedores não se esforçaram muito para esconder seus traços, o que é estranho considerando o nível de sofisticação que o malware demonstra.
A versatilidade do Monokle é sua característica definidora
O Monokle pode, entre outras coisas, registrar as teclas digitadas, excluir e fazer download de arquivos, enviar mensagens, exfiltrar contatos, informações do dispositivo, e-mails, dados de login, listas de aplicativos instalados e históricos de chamadas e navegação. Também pode tirar fotos, vídeos e capturas de tela, e se tiver acesso root, pode executar comandos.
Tudo isso é bastante padrão para esse tipo de malware. Monokle tem alguns outros truques na manga que fazem sobressair da multidão, no entanto. Ele usa os serviços de acessibilidade do Android para capturar e exfiltrar informações dos arquivos do Microsoft Office e do Google Docs, bem como aplicativos de mensagens instantâneas, como Whatsapp, Viber, Snapchat etc. Ele pode fazer gravações de tela mesmo quando o dispositivo ainda está bloqueado. Capture a senha, o código PIN ou o padrão usado para desbloquear o dispositivo. Depois de capturar o segredo, ele pode mudá-lo e bloquear pessoas de seus telefones ou tablets.
Talvez o recurso mais avançado, no entanto, seja a capacidade de instalar certificados confiáveis em dispositivos comprometidos.. Graças a isso, é possível um ataque Man-in-The-Middle contra o tráfego TLS .
Tudo somado, Monokle não é algo que você quer ter no seu dispositivo Android. A boa notícia é que a maioria de vocês provavelmente não a encontrará.
Monokle é destinado a alvos específicos
A amostra mais antiga examinada pela Lookout remonta a 2015, mas a Monokle ainda está sendo usada em ataques até hoje. Como acontece com a maioria das famílias de malware Android, o vetor de infecção primária vem na forma de aplicativos trojanizados distribuídos em lojas de aplicativos de terceiros. A maioria deles representa aplicativos reais, e alguns até vêm com funcionalidade legítima, o que pode dificultar a detecção.
Com base nos títulos e nos ícones dos aplicativos maliciosos, os especialistas concluíram que o Monokle é usado em ataques altamente direcionados contra conjuntos específicos de usuários. Algumas das aplicações foram claramente projetadas para chamar a atenção de pessoas associadas ao grupo militante Ahrar al-Sham na Síria. Outros destinavam-se a usuários situados na antiga república soviética do Uzbequistão, e um terceiro grupo visava pessoas situadas na região do Cáucaso da Europa Oriental.
Se o que os especialistas da Lookout dizem é verdade, Monokle provavelmente é usado por agências do governo russo que estão tentando espionar indivíduos específicos. Se o seu nome não estiver presente em algumas listas muito específicas, você provavelmente não será afetado pelo Monokle. Obviamente, isso não significa que o malware deva ser subestimado.
