A Check Point denuncia um vendedor de malware para sistemas Android que, com ajuda de um outro cibercriminoso, introduziu na darknet o malware Rogue, um trojan de acesso remoto capaz de controlar os dispositivos, acessar todo o tipo de dados, como fotos, localização ou mensagens. As intenções maliciosas do malware são disfarçadas pelo uso da plataforma Firebase do Google, por meio da qual é controlada e passada a informação roubada. Os ciberatacantes lançaram em conjunto uma linha de produtos maliciosos que correspondiam, na verdade, a um único produto anunciado em campanhas de marketing bastante distintas.
O vendedor de malware, conhecido pelo nome “Triangulum”, uniu-se pela primeira vez à darknet em 2017. O seu produto inicial foi um trojan móvel de acesso remoto (RAT), capaz de extrair dados de servidores C&C (comando e controle) e destruir dados, podendo até apagar sistemas operacionais por completo. Após quatro meses, o “Triangulum” colocou o seu primeiro malware para Android à venda.
Depois de um período de um ano e meio sem apresentar sinais de atividade na darknet, em 6 de abril de 2019 o “Triangulum” foi novamente identificado, com a estreia de um novo produto para venda. Passado mais um tempo, ele tem estado muito ativo, anunciando uma série de produtos para os próximos seis meses. Os pesquisadores da Check Point supõem que o período de inatividade do cibercriminoso foi utilizado para a criação de uma linha de produtos de distribuição de malware altamente funcionais.
Produtos para venda e descrição
Cosmos
O produto inicial vendido pelo “Triangulum”. Este malware permite a leitura e escrita de SMS, registros de chamadas e de teclas, bem como capturas de tela.
DarkShades
O produto sucessor do Cosmos. Contém todas as suas funcionalidades, com o acréscimo de permitir a gravação de áudio e a captura de fotografias com a câmera do dispositivo.
Rogue
O mais recente malware vendido pelo “Triangulum”. Contém todas as funcionalidades do DarkShades, e outras mais, como o envio de falsas notificações, permitindo ainda o registro como aplicação de SMS padrão e como administrador do dispositivo.
Parceiros de crime
As investigações mais recentes revelam que o “Triangulum” estava colaborando com outro agente malicioso, o “HexaGoN Dev”, especialista no desenvolvimento de malware para sistemas operacionais Android, particularmente do tipo RATs. De acordo com os pesquisadores, o papel do segundo participante estava ligado ao marketing dos produtos maliciosos. A alegada linha correspondia, na verdade, a um único produto anunciado por meio de campanhas de marketing bastante diferentes. A combinação de forças entre estes dois cibercriminosos, “Triangulum” e “HexaGoN Dev”, representa uma ameaça legítima, visto que, juntos, foram capazes de criar e distribuir múltiplas variantes de malware para Android, incluindo criptomineradores, keyloggers e trojans móveis de acesso remoto sofisticados (como o P2P, Phone to Phone).
“Tem certeza de que pretende apagar todos os seus dados?”
Os cibercriminosos “Triangulum” e “HexaGoN Dev” colaboraram no sentido de criar e introduzir na darknet o malware Rogue. O Rogue integra a família de trojans móveis de acesso remoto (MRAT), sendo capaz de controlar o dispositivo hóspede e extrair qualquer tipo de dados, como fotos, localização, contatos e mensagens, podendo ainda modificar os arquivos de um dispositivo Android e baixar os payloads maliciosos adicionais. Assim que o Rogue obtém as permissões necessárias de um dispositivo, oculta a sua presença, sendo muito difícil de identificar.
O malware regista-se, depois, enquanto dispositivo administrador. No caso de o usuário tentar cancelar a permissão do administrador, aparecerá a seguinte mensagem: “tem certeza de que pretende apagar todos os seus dados?”. O Rogue adota os serviços de uma plataforma Firebase, um serviço do Google, para disfarçar as suas intenções maliciosas e mascarar-se enquanto serviço legítimo. Além disso, recorre aos serviços do Firebase como servidor C&C, de forma que todos os comandos que controlam o malware e todas as informações roubadas pelo mesmo sejam entregues utilizando a infraestrutura da plataforma.
“Os vendedores de malware móvel estão se tornando muito mais engenhosos na darknet. Nossa pesquisa nos dá uma pequena amostra da loucura que é a darknet: como o malware evolui e como é difícil rastrear, classificar e proteger contra eles de maneira eficaz. Além disso, há uma correlação entre este mercado underground arriscado e o mundo real, afirma Yaniv Balmas, chefe de pesquisa cibernética da Check Point Software Technologies. “É muito fácil distorcer as coisas e criar ‘produtos falsos’. Isso, naturalmente, cria muito ruído e o problema é que pode confundir os fornecedores de segurança. Embora tenhamos maneiras de detectar essas ameaças no mundo real, o mercado underground ainda é como um ‘local selvagem’ em certo sentido, o que torna muito difícil entender o que é uma ameaça real e o que não é”, conclui Balmas.
Dicas de proteção de dispositivos contra malware móveis
• Atualizar o sistema operacional. Dispositivos móveis devem estar sempre atualizados com a mais recente versão do sistema operacional de forma a estarem protegidos contra a exploração de vulnerabilidades;
• Instalar apenas aplicações provenientes de fornecedores oficiais. Sempre instalar aplicações originárias de fornecedores oficiais, o que reduz a probabilidade de adquirir malware ou aplicativos maliciosas no dispositivo;
• Ativar o recurso de “limpeza remota” em todos os dispositivos móveis. Todos os dispositivos devem ter esta funcionalidade ativa de forma a minimizar a probabilidade de perda de informações sensíveis;
• Não confiar em redes Wi-Fi públicas. Redes Wi-Fi públicas podem ser a porta de entrada de um atacante para o dispositivo, facilitando ataques como o Man-in-the-Middle (MitM) e outros. Limitar dispositivos móveis a redes Wi-Fi ou redes móveis confiáveis reduz a exposição do dispositivo a ciberameaças.