20/10/2020

20/10/2020

Spyware faz-se passar por conteúdos para adulto


Novo spyware para Android, faz-se passar por conteúdo para adultos e aplicações oficiais de COVID-19, tendo os dispositivos móveis como alvo preferencial.

 

A pandemia tornou-se um tema comum para os agentes de ameaças, que, ao longo dos meses, foram lançando ataques de engenharia social que ainda hoje são relevantes. O grupo Transparent Tribe, um agente de ameaças monitorizado pela Kaspersky durante mais de quatro anos, também se começou a servir deste tema nas suas campanhas.

As recentes descobertas revelam que o grupo tem estado a trabalhar ativamente na melhoria das suas ferramentas e do seu alcance para incluir ameaças em dispositivos móveis. Durante a investigação sobre o Transparent Tribe, a Kaspersky encontrou um implante de Android utilizado para espiar dispositivos móveis nos ataques que difundiu na Índia, servindo-se de aplicações falsas de rastreio à COVID-19 e de pornografia. A ligação entre o grupo e as duas aplicações foi feita através de domínios relacionados que o grupo utilizava para alojar ficheiros maliciosos para diferentes campanhas.

A primeira aplicação é uma versão modificada de um simples leitor de vídeo de código aberto para Android que, quando instalado, exibe um vídeo para adultos como distração. A segunda aplicação infetada chama-se "Aarogya Setu", semelhante à aplicação móvel para rastreio da COVID-19, desenvolvida pelo Centro Nacional de Informática do Governo da Índia, que faz parte do Ministério da Eletrónica e das Tecnologias de Informação.

Assim que são descarregadas, as aplicações tentam instalar outro ficheiro Android - uma versão modificada da Ferramenta de Acesso Remoto do Android (RAT) AhMyth - um malware de código aberto descarregável a partir do GitHub, que foi construído ao ligar uma carga útil maliciosa a outras aplicações legítimas.

A versão modificada do malware apresenta funcionalidades diferentes da da standard. Inclui novas características adicionadas pelos hackers para melhorar a exfiltração de dados, tais como o roubo de imagens da câmara. A aplicação é capaz de descarregar novas aplicações para o telefone, aceder a mensagens SMS, ao microfone, ao registo de chamadas, localização do dispositivo, e listar e carregar ficheiros para um servidor externo a partir do telefone.

"As novas descobertas destacam o que os membros do Transparent Tribe têm feito para acrescentar novas ferramentas que permitam expandir ainda mais as suas operações e chegar às vítimas através de diferentes vetores de ataque, que agora incluem dispositivos móveis. Vemos também que o grupo está constantemente a trabalhar para melhorar e modificar as ferramentas que utiliza. Para permanecerem protegidos contra estas ameaças, os utilizadores devem ser mais cuidadosos do que nunca ao avaliar as fontes a partir das quais descarregam conteúdos e assegurar-se de que os seus dispositivos estão seguros. Isto é especialmente relevante para aqueles que sabem que podem ser alvo de um ataque APT", comenta Giampaolo Dedola, Investigador Sénior de Segurança da Equipa Global de Investigação e Análise da Kaspersky.

Mais informação detalhada sobre os indicadores de compromisso relacionados com este grupo, incluindo hashes de ficheiros e servidores C2, pode ser consultada no Portal de Inteligência de Ameaças da Kaspersky.

Para se proteger desta ameaça, a Kaspersky recomenda que sejam tomadas as seguintes medidas de segurança:

·       Proporcionar à equipa SOC acesso às últimas informações sobre ameaças. O Portal de Inteligência de Ameaças é um ponto de acesso único da equipa de IT da empresa, fornecendo dados sobre ciberataques e informações recolhidas pela Kaspersky durante mais de 20 anos.

 

·       Assegurar que a sua solução de segurança de endpoint fornece proteção para dispositivos móveis. A solução Kaspersky Endpoint Security for Business garante proteção contra malware móvel e assegura que apenas aplicações de confiança podem ser utilizadas em dispositivos corporativos.

 

·       Certificar que os colaboradores conhecem os princípios básicos de segurança de dispositivos móveis, através da implementação de um curso de formação e sensibilização de segurança que cobre estes tópicos, tais como o Kaspersky Adaptive Online Training.

 

Para mais detalhes sobre as conclusões relacionadas com o Transparent Tribe, leia o relatório completo na Securelist. 

0 comments:

Publicar um comentário