Recentemente descoberto por pesquisadores, o spyware BadBazaar tem sido usado como ferramenta de espionagem por grupos de cibercriminosos. Utilizando os aplicativos Signal e Telegram como isca, os hackers têm espionado milhares de aparelhos com sistema operacional Android.
De acordo com o site Bleeping Computer, os aplicativos trojanizados de Signal e Telegram foram carregados no Google Play e na Samsung Galaxy Store por um grupo chinês de hackers APT conhecido como GREF. Ao que tudo indica, os principais alvos desses ataques são usuários que moram na Ucrânia, Polónia, Holanda, Espanha, Portugal, Alemanha, Hong Kong e Estados Unidos.
Segundo o BP, os recursos disponíveis no spyware BadBazaar incluem rastrear a localização precisa do dispositivo, roubar registros de chamadas e SMS, gravar chamadas, tirar fotos usando a câmera, extrair listas de contatos e roubar arquivos ou bancos de dados. Essa ameaça já havia sido utilizada em novembro do ano passado por um outro grupo de hackers e teve como alvo minorias étnicas e religiosas na China.
De acordo com a ESET, responsável pela descoberta da campanha, os aplicativos falsos tinham os nomes de FlyGram e Signal Plus Messenger. Cada um deles possuía permissões específicas para espionar os usuários que eventualmente fizessem o download da aplicação.
O FlyGram pode acessar os backups do Telegram se o usuário ativar um recurso específico adicionado pelos invasores. A análise indica que foi ativado por pelo menos 13.953 contas de usuários.
Por sua vez, o Signal Plus Messenger representa o primeiro caso documentado de espionagem das comunicações Signal, vinculando automaticamente o dispositivo comprometido ao dispositivo Signal do invasor.
Créditos: ESET
Ainda de acordo com o relatório, ambos os aplicativos foram criados pelo mesmo desenvolvedor, compartilham os mesmos recursos maliciosos e as descrições dos apps em ambas as lojas referem-se ao mesmo site do desenvolvedor.
Independentemente de onde o aplicativo é baixado – seja a versão do Google Play, a versão da Samsung Galaxy Store ou a versão do site – todos os três downloads resultam na obtenção de uma versão modificada maliciosamente do aplicativo Signal para Android de código aberto.
Créditos: ESET
Em sua forma de atuação, logo após a inicialização do aplicativo, o usuário deve fazer login no Signal Plus Messenger por meio das credenciais legítimas do Signal, assim como faria com o aplicativo oficial. Uma vez logado, o Signal Plus Messenger passa a se comunicar com seu servidor de comando e controle (C&C).
Durante essa comunicação, o aplicativo envia ao servidor diversas informações do dispositivo. Entre elas: número IMEI, número de telefone, endereço MAC, detalhes da operadora, dados de localização, informações de Wi-Fi, número PIN do Signal que protege a conta (se habilitado pelo usuário), e-mails para contas do Google e lista de contatos.
Ao longo de seu funcionamento, o spyware BadBazaar consegue burlar a verificação do QR Code do Signal e o processo de clique do usuário, recebendo o URI necessário de seu servidor C&C. Isso permite que o malware vincule secretamente o smartphone da vítima ao dispositivo do invasor, permitindo espionar as comunicações do Signal sem o conhecimento da vítima.
Créditos: ESET
O FlyGram funciona quase da mesma forma: o usuário deve fazer login no aplicativo por meio das credenciais legítimas do Telegram. Antes que o login seja concluído, o FlyGram começa a se comunicar com o servidor C&C enviando informações básicas do dispositivo, como: número IMEI, endereço MAC, nome da operadora, idioma do dispositivo e fuso-horário.
Com base na resposta do servidor, o BadBazaar ganha a capacidade de extrair mais informações confidenciais do dispositivo, incluindo:
- lista de contatos;
- registro de chamadas;
- lista de aplicativos instalados;
- lista de contas do Google;
- localização do dispositivo;
- Informações de Wi-Fi (endereço IP, SSID, BSSID, endereço MAC, gateway, DNS, descoberta de verificação de dispositivo de rede local).
Como se proteger do BadBazaar
Sempre verifique a procedência dos aplicativos que você instala em seu celular. É importante entender que os seus dados são uma informação importantíssima para esses criminosos, que irão usá-los para cometer outros crimes.
Sendo assim, sempre olhe o desenvolvedor e publisher dos aplicativos que você instala em seu smartphone. Evite instalar aplicativos desconhecidos e sempre tenha em seu celular um software antivírus, que monitore e evite que malwares sejam instalados no dispositivo.
Continue lendo o nosso blog!
Confira outros conteúdos desenvolvidos pela equipe da VNX Partners.
Vulnerabilidades digitais: tendências para ficar de olho
Começam a ser divulgados importantes relatórios sobre ameaças cibernéticas que mais impactaram o mercado até
Malwares para Linux: entenda a crescente onda de ameaças
O Linux é um dos sistemas operacionais mais utilizados no mundo. Por se tratar de
Linux: conheça a ferramenta de varredura antimalware gratuita
O Linux é um sistema operacional amplamente conhecido e utilizado, tendo como principal característica a
Backup: conheça os principais tipos e por que é importante
Ter um bom sistema de backup na sua organização é a garantia de preservação de
Conheça as soluções avançadas em cibersegurança da Fortinet
À medida que a tecnologia continua a evoluir e os ataques cibernéticos se tornam cada
VPN gratuitas: apps transformam celulares Android em proxies
Com o aumento das preocupações com a privacidade e segurança online, os serviços de Rede