Um malware para Android até agora desconhecido começou recentemente a propagar-se em massa por vários dispositivos, e em diferentes países, focado em realizar ações de espionagem. O malware acredita-se que esteja relacionado com grupos na Rússia.
De acordo com os investigadores da empresa de segurança Lab52, acredita-se que o malware tenha sido desenvolvido pelo grupo Turla, que possui ligações ao governo russo. Este foca-se em infetar dispositivos Android com o objetivo de realizar espionagem pelos mesmos – nomeadamente através da gravação de imagens da câmara e de áudio, mas o malware pode realizar muito mais em segundo plano.
A APK do malware propaga-se sobre o nome de “Process Manager”, fazendo-se passar por um gestor de serviços para Android. Uma vez instalado no sistema, o mesmo requer uma quantidade elevada de permissões para realizar as atividades maliciosas, desde recolher a localização do utilizador, as mensagens, ficheiros, histórico de chamadas, entre outros detalhes sensíveis.
O mais grave será a capacidade do malware ativar o microfone e a câmara a qualquer momento, registando os conteúdos dos mesmos. Existe ainda a possibilidade de o malware enganar os utilizadores a ativarem o serviço de acessibilidade para o mesmo, o que permite a este obter as permissões necessárias sem que o utilizador tenha de realizar qualquer intervenção.
A aplicação corre em segundo plano nos dispositivos, sendo que a única forma de identificar a mesma será através de uma notificação permanente na barra de notificações. O ícone para remover a app também é removido do ecrã inicial do sistema.
Os investigadores também descobriram que, em segundo plano, a app maliciosa pode descarregar outras apps disponíveis na Play Store, e que curiosamente o realiza para uma app conhecida como “Roz Dhan: Earn Wallet cash” – a qual promete oferecer dinheiro a troco de algumas ações dos utilizadores.
Ainda se desconhece qual o motivo pelo qual a aplicação faz download desta app em particular, mas acredita-se que possa ser de forma a obter ganhos extra através de afiliados para o download da mesma – o que será igualmente estranho, tendo em conta que a app se foca em ser usada para ciber-espionagem.
Seja como for, a recomendação para os utilizadores continua a ser a de terem extremo cuidado com qualquer aplicação descarregada fora de fontes originais, bem como analisar atentamente todas as permissões das mesmas, evitando qualquer ativação do serviço de acessibilidade se possível.
Nenhum comentário
Seja o primeiro!