A ISH Tecnologia alerta para duas campanhas de malwares que tem como alvo dispositivos Android e iOS no Brasil. Segundo a companhia, uma nova variante do software malicioso FakeCall é capaz de sequestrar aparelhos Android para aplicar fraudes bancárias e roubar informações confidenciais. Por outro lado, os eletrônicos da Apple, de sistema iOS e macOS, têm sido vítimas da versão aprimorada do Spyware LightSpy, que instala recursos destrutivos e impede sua inicialização.
FakeCall (Android)
De acordo com a equipe de Inteligência de Ameaças da ISH, a nova versão do FakeCall para Android utiliza técnicas de vishing, phishing por voz, para enganar usuários e obter suas informações pessoais, como credenciais de login, números de cartão ou detalhes bancários. Na maioria dos casos, os golpes são realizados por meio de chamadas telefônicas fraudulentas ou mensagens de voz, que se passam por bancos ou outras instituições de confiança.
Uma de suas funções principais é manipular chamadas de saída e redirecioná-las para números fraudulentos controlados pelos atacantes, o que resulta em fraudes de identidade ou sequestros de chamadas. Além de utilizar malware para assumir o controle total de dispositivos móveis, a campanha abusa da interceptação de chamadas recebidas e efetuadas.
Seu ataque é disseminado inicialmente por meio de um arquivo APK malicioso baixado por meio de phishing, que funciona como um dropper. A principal função do dropper é instalar a carga maliciosa real (o segundo estágio) no dispositivo da vítima. A partir daí, O malware de segundo estágio, é projetado para se comunicar com um servidor de Command and Control (C2) com o intuito de permitir que um invasor execute ações mal-intencionadas no aparelho comprometido.
Quando o download do arquivo APK é concretizado, ele passa a utilizar um arquivo .dex (um arquivo de código executável para Android) descriptografado para ocultar seu código e dificultar a análise. Além dessa, a aprimorada variante do malware apresenta novas funcionalidades, como o monitoramento do status de Bluetooth e a detecção de eventos no status da tela.
Para obter o domínio total sobre a interface do usuário, o FakeCall utiliza o Android Accessibility Service. Uma vez com o controle da tela em suas mãos, os cibercriminosos são capazes de monitorar atividades, capturar informações e conceder permissões sem o consentimento do usuário.
Quando a vítima contata sua instituição financeira, o malware redireciona a chamada para um número fraudulento controlado pelo invasor. A partir daí, um aplicativo malicioso, originado através dos downloads da campanha negativa, engana o usuário ao exibir uma interface falsa que parece ser a legítima do Android. De maneira que o alvo não perceba a manipulação, a interface imita uma experiência bancária real, que permite ao cibercriminoso obter informações confidenciais ou o acesso não autorizado às contas financeiras da vítima.
Spyware LightSpy (iPhone)
A nova versão avançada do Spyware LightSpy, não só amplia suas funcionalidades, mas também inclui recursos destrutivos que podem impedir a inicialização do dispositivo comprometido. De acordo com um relatório da ThreatFabric, foi descoberto que o agente de ameaça utilizava o mesmo servidor para campanhas tanto em macOS quanto em iOS.
Ainda segundo os estudos, com base na exploração de vulnerabilidades, como, por exemplo, no Safari, os cibercriminosos utilizam plugins para comprometer os aparelhos eletrônicos. Algumas dessas adições de software utilizadas possuem capacidades altamente destrutivas – podendo, por exemplo, afetar a estabilidade de sistemas operacionais, congelar dispositivos e impedir sua inicialização.
A estrutura da cadeia de infecção do LightSpy iOS sugere que a URL de exploração inicial fica embutida em uma página web legítima ou especialmente criada. As vítimas precisam acessar essa página por conta própria. Segundo a ISH, qualquer falha nos servidores que vigiam e alocam os dados sensíveis das vítimas pode resultar no vazamento dessas informações confidenciais. Sendo assim, diferentes pessoas poderiam acessar os materiais exfiltrados dos alvos.
Google lança atualizações para corrigir falhas em Android
Recentemente, o Google lançou correções para duas vulnerabilidades zero-day do Android que eram ativamente exploradas e cobriu ao todo 51 falhas. Identificadas como CVE2024-43047 e CVE-2024-43093, esses erros estão associados a ofensivas limitadas e específicas.
Segundo a equipe de Inteligência de Ameaças da ISH Tecnologia, A CVE-2024-43047 era uma vulnerabilidade presente em componentes de código fechado da Qualcomm no kernel do Android que permite elevação de privilégios. Por outro lado, a CVE-2024-43093 afetava o componente Android Framework e as atualizações do sistema Google Play, especificamente na interface de documentos da plataforma.
Embora detalhes sobre o uso das vulnerabilidades em ataques não tenham sido revelados, pesquisadores sugerem que o CVE-2024-43047 possa ter sido utilizado em operações de spyware direcionados. As atualizações de segurança deste mês abrangem versões do Android de 12 a 15, algumas com impacto em versões específicas do sistema operacional.
Recomendações
Diante da sofisticação de ameaças, como o FakeCall e o Spyware LightSpy, a ISH Tecnologia elenca recomendações para que os usuários da internet saibam como se defender dessas ofensivas cibernéticas:
– Mantenha seu sistema operacional atualizado;
– Evite clicar em links suspeitos e use um software de segurança confiável;
– Verifique as permissões dos aplicativos;
– Monitore atividades suspeitas;
– Faça backups regulares e experimente a criptografia de dados.