Pesquisadores de segurança descobriram recentemente um spyware disfarçado de aplicativo chamado Kik Messenger, o qual teria sido distribuído através de um site falso, porém, muito convincente.
Há alguns meses, a equipe detectou que usuários receberam mensagens estranhas através do Facebook Messenger. As mensagens vieram de perfis falsos criados na rede social. Eram de mulheres atraentes e fictícias, que incentivavam o usuário a baixar um outro aplicativo de bate-papo para continuar as conversas. No entanto, o chat era um spyware.
Ao aprofundar as investigações nos arquivos, foram encontrados os APKs pertencentes a várias mensagens falsas e apps de leitores de feed, os quais incluíam módulos maliciosos. Descobriu-se ainda que, infelizmente, muitos caíram na armadilha.
Após analisar o falso aplicativo Kik Messenger, a Avast detectou o spyware (ou APT-Advanced Persistent Threat). Nomeado “Tempting Cedar Spyware”, o malware foi dividido em diferentes módulos com comandos específicos e criados para roubar informações das vítimas – inclusive em tempo real -, como contatos, registros de chamadas, SMS, fotos, dados do dispositivo do usuário (versão do Android, modelo do aparelho, operador de rede e números de telefone), além de obter acesso ao sistema de arquivos do aparelho infectado. O spyware, por exemplo, foi capaz de monitorar os movimentos das pessoas por geolocalização, gravando sons ao redor como conversas enquanto as vítimas estavam no telefone, dentro do alcance.
Com base em diversas pistas de falsos perfis do Facebook e da infraestrutura da campanha, as evidências apontam que por trás do Tempting Cedar Spyware talvez esteja um grupo de cibercriminosos do Líbano. A campanha foi altamente segmentada e monitorada.
A companhia observou um baixo número de vítimas dos EUA, França, Alemanha e China, sendo a maioria das vítimas do Oriente Médio. Devido ao potencial impacto do malware, a Avast contatou agências de segurança para ajudar na mitigação das ameaças.
Vetor infectado: Mais do que amigos do Facebook
O malware foi distribuído através do uso de vários perfis falsos do Facebook. Depois de conversas com suas vítimas, os cibercriminosos se ofereciam para levar a conversa do Facebook para uma outra plataforma, onde poderiam ter interações mais íntimas. Em seguida, os invasores enviavam um link às vítimas, direcionando-as para um site de phishing, que hospedava uma versão maliciosa para download do app Kik Messenger. As vítimas tiveram que ajustar as configurações do dispositivo para “instalar aplicativos de fontes desconhecidas”, antes que o referido aplicativo de mensagens falsas fosse incluído. Depois de instalado, o malware imediatamente se conectava a um servidor de comando e controle (C&C). Persistente como um serviço, o malware era executado após cada reinicialização.
O spyware foi disseminado por pelo menos três perfis falsos no Facebook. Um fato interessante é que os três perfis falsos interagiram entre si na rede social, talvez para fazer com que seus perfis parecessem mais confiáveis.
(As imagens foram desfocadas, pois utilizam fotos roubadas de pessoas reais nas contas falsas)
Acima está uma captura de tela, que mostra como os invasores convenciam suas vítimas a instalar o falso aplicativo Kik Messenger.
O site usado para distribuir a cópia maliciosa do app Kik Messenger foi o chat-messenger.site (185.8.237.151). Muito convincente, o site esteve no ar até o ano passado.
Como os usuários podem estar protegidos contra spyware
A seguir, estão algumas dicas para que as pessoas evitem ser enganadas para baixar o malware:
Use um software antivírus – Mesmo que, acidentalmente, a pessoa faça o download de um malware em seu dispositivo, o antivírus irá detectá-lo e removê-lo para manter seus dados e a sua privacidade protegidos.
Não fale com estranhos – Geralmente, os pais alertam seus filhos para não conversar com estranhos. Isto também vale para o mundo digital: falar com estranhos online não é diferente e não é uma boa ideia.
Nunca abra links ou baixe softwares enviados por fontes não confiáveis – As vítimas dessa campanha de spyware foram levadas a fazer o download do spyware, porque confiavam nas mulheres com as quais estavam interagindo, apesar de nunca as conhecerem pessoalmente. Além disso, essas vítimas ignoraram os avisos do Android sobre o download de aplicativos de fontes desconhecidas.
Faça o download diretamente da fonte – Sempre que possível, vá diretamente para a página oficial da empresa – digitando a URL você mesmo. Isto porque geralmente os cibercriminosos promovem seus apps maliciosos para dispositivos móveis em seus próprios websites, para levar a vítima a baixar o malware.