Irã continua espionando dispositivos de dissidentes do regime, aponta investigação

O governo iraniano está usando grupos de cibercriminosos para infectar mais de 600 dispositivos e obter informações, como histórico de chamadas e mensagens, localização e outros dados confidenciais, de mais de 1.200 vítimas em sete países ao redor do mundo

Compartilhar:

Os pesquisadores da Check Point conduziram uma nova investigação que revelou que o governo iraniano continua monitorando e lançando ataques cibernéticos contra dissidentes e pessoas contrárias ao regime, tanto dentro de suas fronteiras como em outros seis países. Ao contar com a colaboração da SafeBreach, os pesquisadores da Check Point puderam descobrir como essa nova série de ciberataques contra mais de 1.200 vítimas – a maioria dissidentes, forças contrárias ao regime, apoiadores do grupo terrorista ISIS e minorias curdas – ocorreram no Irã, Estados Unidos, Grã-Bretanha, Paquistão, Afeganistão, Turquia e Uzbequistão.

 

Em 2018, a Check Point já havia divulgado sobre a campanha Domestic Kitten na qual se descobriu que o governo iraniano estava por trás de uma dezena de ciberataques (quatro dos quais ainda estão ativos), cujo propósito era realizar espionagem e vigilância sobre objetivos específicos. Identificou-se também que o grupo de cibercriminosos conhecido como APT-C-50 foi o responsável por esses ataques, capaz de infectar mais de 600 dispositivos, espionar os aparelhos de dissidentes, coletando registros e gravações de ligações, mensagens, fotos, vídeos, dados do GPS e uma lista de aplicativos baixados.

 

Os pesquisadores da Check Point apontam que os atacantes enganaram as vítimas para fazer o download de um aplicativo aparentemente inofensivo que estava infectado com o malware Domestic Kitten. Para fazer isso, eles usaram vários vetores de ataque, como blogs, canais do Telegram e mensagens de texto (SMS) com um link de download. Além disso, para ganhar a confiança da vítima, os cibercriminosos ocultaram software malicioso em vários aplicativos e serviços aparentemente inofensivos, incluindo:

 

• VIPRE Mobile Security – Um falso aplicativo de segurança móvel

• ISIS Amaq – Um veículo de comunicação da agência de notícias Amaq

• Exotic Flowers – Uma versão reformulada de um jogo do Google Play

• MyKet – Uma loja de aplicativos para Android

• Iranian Woman Ninja – Um aplicativo de papéis de parede

• Aplicativo Mohen Restaurant – Um restaurante em Teerã

 

Infy, o herdeiro do Domestic Kitten que espiona pelo computador

 

Na nova pesquisa realizada pela Check Point Research (CPR) com a SafeBreach foi identificado um novo grupo de cibercriminosos, conhecido como Infy, que espiona suas vítimas extraindo informações confidenciais de computadores pessoais e corporativos. Entre os arquivos que usaram para atrair a atenção estava uma foto de Mojtaba Biranvand, governador da cidade de Dorud (Lorestan, Irã), que inclui informações sobre seu escritório e seu suposto número de telefone. Além desse, outro arquivo usado ​​foi uma imagem do logotipo da ISAAR, a Fundação para Assuntos de Mártires e Veteranos patrocinada pelo governo iraniano, que faz empréstimos a veteranos deficientes. O texto de ambos os documentos foi escrito em persa.

 

Os pesquisadores observaram que tanto Domestic Kitten quanto Infy estão atualmente ativos, embora observem que a operação deste último foi intermitente desde 2007. Da mesma forma, revelaram que o potencial tecnológico do Infy é muito superior ao das demais campanhas iranianas conhecidas até o momento, já que ataca apenas um pequeno grupo de pessoas e possui funcionalidades especiais para evitar ser detectado ou interrompido.

 

“As evidências desta investigação mostram que o governo iraniano está conduzindo operações cibernéticas. Embora as duas campanhas em destaque já fossem conhecidas, conseguimos encontrar novas evidências de sua atividade recente. Os atacantes por trás dessas campanhas contornam todos os processos de controle para detectar e parar seus ataques: eles aprendem com a história, modificam suas táticas e permitem que o tempo passe antes de retornar aos seus velhos hábitos”, comenta Yaniv Balmas, chefe de pesquisas da Check Point Software Technologies.

 

 

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...