Engenharia social engana usuários do Facebook para baixarem spyware

App chamado Kik Messenger fez vítimas principalmente no Oriente Médio, mas também atingiu usuários nos EUA, França, Alemanha e China; esquema utilizava perfis falsos de mulheres atraentes que incentivavam o download da ameaça para continuar conversas de forma mais íntima

Compartilhar:

Pesquisadores de segurança descobriram recentemente um spyware disfarçado de aplicativo chamado Kik Messenger, o qual teria sido distribuído através de um site falso, porém, muito convincente.

 

Há alguns meses, a equipe detectou que usuários receberam mensagens estranhas através do Facebook Messenger. As mensagens vieram de perfis falsos criados na rede social. Eram de mulheres atraentes e fictícias, que incentivavam o usuário a baixar um outro aplicativo de bate-papo para continuar as conversas. No entanto, o chat era um spyware.

 

Ao aprofundar as investigações nos arquivos, foram encontrados os APKs pertencentes a várias mensagens falsas e apps de leitores de feed, os quais incluíam módulos maliciosos. Descobriu-se ainda que, infelizmente, muitos caíram na armadilha.

 

Após analisar o falso aplicativo Kik Messenger, a Avast detectou o spyware (ou APT-Advanced Persistent Threat). Nomeado “Tempting Cedar Spyware”, o malware foi dividido em diferentes módulos com comandos específicos e criados para roubar informações das vítimas – inclusive em tempo real -, como contatos, registros de chamadas, SMS, fotos, dados do dispositivo do usuário (versão do Android, modelo do aparelho, operador de rede e números de telefone), além de obter acesso ao sistema de arquivos do aparelho infectado. O spyware, por exemplo, foi capaz de monitorar os movimentos das pessoas por geolocalização, gravando sons ao redor como conversas enquanto as vítimas estavam no telefone, dentro do alcance.

 

Com base em diversas pistas de falsos perfis do Facebook e da infraestrutura da campanha, as evidências apontam que por trás do Tempting Cedar Spyware talvez esteja um grupo de cibercriminosos do Líbano. A campanha foi altamente segmentada e monitorada.

 

A companhia observou um baixo número de vítimas dos EUA, França, Alemanha e China, sendo a maioria das vítimas do Oriente Médio. Devido ao potencial impacto do malware, a Avast contatou agências de segurança para ajudar na mitigação das ameaças.

 

Vetor infectado: Mais do que amigos do Facebook

 

O malware foi distribuído através do uso de vários perfis falsos do Facebook. Depois de conversas com suas vítimas, os cibercriminosos se ofereciam para levar a conversa do Facebook para uma outra plataforma, onde poderiam ter interações mais íntimas. Em seguida, os invasores enviavam um link às vítimas, direcionando-as para um site de phishing, que hospedava uma versão maliciosa para download do app Kik Messenger. As vítimas tiveram que ajustar as configurações do dispositivo para “instalar aplicativos de fontes desconhecidas”, antes que o referido aplicativo de mensagens falsas fosse incluído. Depois de instalado, o malware imediatamente se conectava a um servidor de comando e controle (C&C). Persistente como um serviço, o malware era executado após cada reinicialização.

 

O spyware foi disseminado por pelo menos três perfis falsos no Facebook. Um fato interessante é que os três perfis falsos interagiram entre si na rede social, talvez para fazer com que seus perfis parecessem mais confiáveis.

 

Alona (Divulgação)

 

 

Rita (Divulgação)

 

 

Christina (Divulgação)

 

(As imagens foram desfocadas, pois utilizam fotos roubadas de pessoas reais nas contas falsas)

 

 

Acima está uma captura de tela, que mostra como os invasores convenciam suas vítimas a instalar o falso aplicativo Kik Messenger.

 

O site usado para distribuir a cópia maliciosa do app Kik Messenger foi o chat-messenger.site (185.8.237.151). Muito convincente, o site esteve no ar até o ano passado.

 

 

Como os usuários podem estar protegidos contra spyware

 

A seguir, estão algumas dicas para que as pessoas evitem ser enganadas para baixar o malware:

 

Use um software antivírus – Mesmo que, acidentalmente, a pessoa faça o download de um malware em seu dispositivo, o antivírus irá detectá-lo e removê-lo para manter seus dados e a sua privacidade protegidos.

 

Não fale com estranhos – Geralmente, os pais alertam seus filhos para não conversar com estranhos. Isto também vale para o mundo digital: falar com estranhos online não é diferente e não é uma boa ideia.

 

Nunca abra links ou baixe softwares enviados por fontes não confiáveis – As vítimas dessa campanha de spyware foram levadas a fazer o download do spyware, porque confiavam nas mulheres com as quais estavam interagindo, apesar de nunca as conhecerem pessoalmente. Além disso, essas vítimas ignoraram os avisos do Android sobre o download de aplicativos de fontes desconhecidas.

 

Faça o download diretamente da fonte – Sempre que possível, vá diretamente para a página oficial da empresa – digitando a URL você mesmo. Isto porque geralmente os cibercriminosos promovem seus apps maliciosos para dispositivos móveis em seus próprios websites, para levar a vítima a baixar o malware.

 

Conteúdos Relacionados

Security Report | Overview

Serasa Experian assina acordo de aquisição da ClearSale

A transação ampliará a oferta de serviços com foco em segurança nas operações de clientes
Security Report | Overview

Eleições 2024: Cibercrime usa IA para aplicar golpes se passando por candidatos

Com a crescente sofisticação dos ataques baseados em IA, é crucial que as pessoas estejam atentas, saibam reconhecer e evitar...
Security Report | Overview

5.000 e-mails falsos imitando a Microsoft circulam nas redes, detecta laboratório

Pesquisadores da Check Point Software debruçaram-se na análise desses e-mails que podem levar ao controle de contas de e-mail, ataques...
Security Report | Overview

67% das empresas de Saúde sofreram ataques de ransomware em 2023

Relatório da Sophos revela que setor tem maior número de ataques em quatro anos. Quase 80% das empresas atacadas levaram...