Pesquisadores descobrem novo malware para celular Charming Kitten
Pesquisadores de segurança que trabalham com a IBM publicaram recentemente uma análise de uma nova peça de malware Android que é espalhada e usada pelo ator da ameaça conhecido pelos pseudônimos Charming Kitten e APT35. Os pesquisadores afirmaram que o malware é usado por um ator de ameaça que eles chamam de ITG18, com suspeitas de conexões com o Irã, mas que este APT também tem uma sobreposição significativa com o Charming Kitten.
O malware em questão é chamado de "LittleLooter" e atua como uma porta dos fundos para dispositivos Android. LittleLooter é uma ferramenta usada apenas pelo grupo ITG18, segundo pesquisadores da IBM. No entanto, também apresenta alguns problemas de design.
O arquivo contendo o malware foi encontrado em um servidor pertencente e associado ao suposto grupo de hackers iraniano. O contêiner era um pacote de aplicativo Android fingindo ser um instalador do WhatsApp chamado "WhatsApp.apk", com a soma de verificação MD5 "a04c2c3388da643ef67504ef8c6907fb".
LittleLooter é um ladrão variado com muitos recursos que incluem gravação de vídeo e som do dispositivo infectado, upload e exfiltração de arquivos do dispositivo, gravação de conversas em andamento, verificação de aplicativos instalados, manipulação do status ativado / desativado de várias funcionalidades do dispositivo, como como Bluetooth, Wi-Fi e dados móveis e verificação de registros de chamadas.
Os pesquisadores também descobriram horas de vídeos com o objetivo de treinar hackers a usar uma versão anterior do malware. O LittleLooter mais recente é carimbado com v5, enquanto os tutoriais sobre como usar o malware eram para v4.
Para sua infraestrutura de comando e controle, LittleLooter tenta contatar um servidor que afirma pertencer a uma floricultura americana, de todas as coisas possíveis, e está online e funcionando desde meados de 2020. A comunicação é compactada e criptografada usando AES.
Como acontece com todos os ataques semelhantes e malware móvel, os pesquisadores da IBM recomendaram habilitar a autenticação multifator em tantos dispositivos e aplicativos nesses dispositivos quanto possível. Allison Wikoff, pesquisadora de segurança da IBM Security X-Force, disse que os pesquisadores continuariam enfatizando a importância do MFA até que fiquem "na cara", especialmente porque nem todos os fornecedores o implementam ou o tornam obrigatório para seus produtos.
