O spyware que pode gravar senhas é espalhado usando aplicativos falsos do Skype e de sinal
Os invasores não podem se dar ao luxo de parar em sua busca para encontrar maneiras novas e interessantes de infectar as vítimas com malware. Por exemplo, quando se trata de usuários do Android, existem vetores de infecção conhecidos que, aparentemente, funcionam muito bem, mas não são tão eficazes quanto costumavam ser. Os hackers costumam usar um aplicativo simples que promete adicionar certos recursos ao dispositivo dos usuários, como uma lanterna ou um scanner de código QR. Após a instalação, o aplicativo solicita permissões que não são típicas da funcionalidade anunciada, mas as pessoas geralmente as ignoram. Com certeza, mais tarde eles percebem que realmente instalaram software malicioso em seus dispositivos móveis.
É um método testado e comprovado que funciona até hoje, mas mais e mais pessoas estão se conscientizando disso. Além disso, aqueles que podem ser mais suscetíveis a ataques de alto nível sabem como se proteger. Isso significa que os atores de ameaças estão enfrentando um desafio maior e, com certeza, estão enfrentando esse desafio.
Hackers espalham malware com a ajuda de aplicativos legítimos trojanizados
Em uma entrevista recente ao ThreatPost, Apurva Kumar, de uma empresa de segurança chamada Lookout, falou sobre o que os hackers estão usando para atingir seus alvos com malware. Tendo percebido que as pessoas estão começando a ser um pouco mais cuidadosas com os aplicativos que instalam em seus dispositivos, os atacantes agora estão tentando enganá-los usando os nomes de serviços online legítimos e bem conhecidos.
Especificamente, Kumar observou que alguns atores de spyware estão utilizando os nomes de Skype e Signal para direcionar alvos para a instalação de malware. A operação desses dois aplicativos depende do acesso a itens como a câmera e a lista de contatos salvos no dispositivo, o que significa que os alvos têm menos probabilidade de suspeitar. Além disso, é oferecido aos usuários uma marca e um logotipo conhecidos e reconhecíveis, e não um aplicativo aleatório que promete escanear códigos QR (algo que seu telefone provavelmente é capaz de qualquer maneira).
Deve-se dizer que o foco de Kumar estava em ataques direcionados a alvos de alto valor, e não a usuários aleatórios. Nesses ataques, colocar o aplicativo mal-intencionado sob o nome de uma família simplesmente não é suficiente. A pesquisadora disse que, nos casos que ela examinou, os criminosos pegaram aplicativos legítimos do Skype ou Signal, descompactaram-nos e injetaram seu código malicioso dentro deles. Dessa forma, o destino instalaria o aplicativo com todos os seus recursos regulares e é menos provável que seus dados sejam desviados.
Monokle está vivo e chutando
A entrevista de Apurva Kumar centrou-se em torno de uma família de spywares ou spywares Android chamados Monokle. Existe desde pelo menos 2015, mas não foi até o verão passado, quando os especialistas da Lookout o viram e o examinaram com mais detalhes.
A empresa de segurança chegou a atribuir o spyware extremamente versátil a uma empresa russa chamada Special Technology Center (STC). A STC desenvolve produtos de segurança para Android, mas também acredita-se que tenha fortes conexões com o governo russo. Em 2016, a empresa foi sancionada pelo governo Obama por interferir nas eleições presidenciais dos EUA, que, se a atribuição do Lookout for precisa, realmente não fizeram muito para impedi-lo de continuar com a distribuição de spyware.
Os usuários regulares não são particularmente propensos a serem atingidos por aplicativos trojanizados do Skype e Signal que transportam o Monokle. Como mencionamos em nosso artigo anterior, o spyware é extremamente sofisticado e provavelmente é usado apenas em destinos de alto perfil. Isso não significa, no entanto, que outros atores de ameaças não tomem nota das supostas táticas da STC, portanto, manter sua mente a seu respeito mesmo quando estiver instalando aplicativos aparentemente reconhecíveis é tão importante quanto sempre.
