Engenharia social engana usuários do Facebook para baixarem spyware

App chamado Kik Messenger fez vítimas principalmente no Oriente Médio, mas também atingiu usuários nos EUA, França, Alemanha e China; esquema utilizava perfis falsos de mulheres atraentes que incentivavam o download da ameaça para continuar conversas de forma mais íntima

Compartilhar:

Pesquisadores de segurança descobriram recentemente um spyware disfarçado de aplicativo chamado Kik Messenger, o qual teria sido distribuído através de um site falso, porém, muito convincente.

 

Há alguns meses, a equipe detectou que usuários receberam mensagens estranhas através do Facebook Messenger. As mensagens vieram de perfis falsos criados na rede social. Eram de mulheres atraentes e fictícias, que incentivavam o usuário a baixar um outro aplicativo de bate-papo para continuar as conversas. No entanto, o chat era um spyware.

 

Ao aprofundar as investigações nos arquivos, foram encontrados os APKs pertencentes a várias mensagens falsas e apps de leitores de feed, os quais incluíam módulos maliciosos. Descobriu-se ainda que, infelizmente, muitos caíram na armadilha.

 

Após analisar o falso aplicativo Kik Messenger, a Avast detectou o spyware (ou APT-Advanced Persistent Threat). Nomeado “Tempting Cedar Spyware”, o malware foi dividido em diferentes módulos com comandos específicos e criados para roubar informações das vítimas – inclusive em tempo real -, como contatos, registros de chamadas, SMS, fotos, dados do dispositivo do usuário (versão do Android, modelo do aparelho, operador de rede e números de telefone), além de obter acesso ao sistema de arquivos do aparelho infectado. O spyware, por exemplo, foi capaz de monitorar os movimentos das pessoas por geolocalização, gravando sons ao redor como conversas enquanto as vítimas estavam no telefone, dentro do alcance.

 

Com base em diversas pistas de falsos perfis do Facebook e da infraestrutura da campanha, as evidências apontam que por trás do Tempting Cedar Spyware talvez esteja um grupo de cibercriminosos do Líbano. A campanha foi altamente segmentada e monitorada.

 

A companhia observou um baixo número de vítimas dos EUA, França, Alemanha e China, sendo a maioria das vítimas do Oriente Médio. Devido ao potencial impacto do malware, a Avast contatou agências de segurança para ajudar na mitigação das ameaças.

 

Vetor infectado: Mais do que amigos do Facebook

 

O malware foi distribuído através do uso de vários perfis falsos do Facebook. Depois de conversas com suas vítimas, os cibercriminosos se ofereciam para levar a conversa do Facebook para uma outra plataforma, onde poderiam ter interações mais íntimas. Em seguida, os invasores enviavam um link às vítimas, direcionando-as para um site de phishing, que hospedava uma versão maliciosa para download do app Kik Messenger. As vítimas tiveram que ajustar as configurações do dispositivo para “instalar aplicativos de fontes desconhecidas”, antes que o referido aplicativo de mensagens falsas fosse incluído. Depois de instalado, o malware imediatamente se conectava a um servidor de comando e controle (C&C). Persistente como um serviço, o malware era executado após cada reinicialização.

 

O spyware foi disseminado por pelo menos três perfis falsos no Facebook. Um fato interessante é que os três perfis falsos interagiram entre si na rede social, talvez para fazer com que seus perfis parecessem mais confiáveis.

 

Alona (Divulgação)

 

 

Rita (Divulgação)

 

 

Christina (Divulgação)

 

(As imagens foram desfocadas, pois utilizam fotos roubadas de pessoas reais nas contas falsas)

 

 

Acima está uma captura de tela, que mostra como os invasores convenciam suas vítimas a instalar o falso aplicativo Kik Messenger.

 

O site usado para distribuir a cópia maliciosa do app Kik Messenger foi o chat-messenger.site (185.8.237.151). Muito convincente, o site esteve no ar até o ano passado.

 

 

Como os usuários podem estar protegidos contra spyware

 

A seguir, estão algumas dicas para que as pessoas evitem ser enganadas para baixar o malware:

 

Use um software antivírus – Mesmo que, acidentalmente, a pessoa faça o download de um malware em seu dispositivo, o antivírus irá detectá-lo e removê-lo para manter seus dados e a sua privacidade protegidos.

 

Não fale com estranhos – Geralmente, os pais alertam seus filhos para não conversar com estranhos. Isto também vale para o mundo digital: falar com estranhos online não é diferente e não é uma boa ideia.

 

Nunca abra links ou baixe softwares enviados por fontes não confiáveis – As vítimas dessa campanha de spyware foram levadas a fazer o download do spyware, porque confiavam nas mulheres com as quais estavam interagindo, apesar de nunca as conhecerem pessoalmente. Além disso, essas vítimas ignoraram os avisos do Android sobre o download de aplicativos de fontes desconhecidas.

 

Faça o download diretamente da fonte – Sempre que possível, vá diretamente para a página oficial da empresa – digitando a URL você mesmo. Isto porque geralmente os cibercriminosos promovem seus apps maliciosos para dispositivos móveis em seus próprios websites, para levar a vítima a baixar o malware.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Dia da Internet: Phishing e data leak são duas das maiores ameaças ao usuário

Com o desenvolvimento acelerado da tecnologia, a crescente de tentativas de golpes no ambiente online também se torna uma realidade....
Security Report | Overview

Especialistas alertam para novos modelos personalizados de golpe com QR Code

Especialistas da Check Point Software identificaram novos ataques cibernéticos conhecidos por Quishing e explicam como evitar tais golpes...
Security Report | Overview

61% das empresas aumentarão investimento em Cloud Security, segundo relatório

As organizações participantes do estudo estimam que o aumento planejado dos investimentos em segurança na nuvem alcance os 37%, em...
Security Report | Overview

CTIR Gov emite recomendações de enfrentamento ao ransomware Black Basta

Em informe publicado no site oficial da organização, foram trazidas outras informações a respeito do malware, que tem mirado especificamente...