Novo malware para Android mira em usuários no Oriente Médio

Android/SpyC23.A é distribuído em uma falsa loja de aplicativos e tenta se passar por apps legítimos como o Telegram ou Threema
Rafael Rigues06/10/2020 18h31

20200918024048

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Pesquisadores da ESES descobriram um novo spyware que tem como alvo os usuários de smartphones Android no Oriente Médio. Chamada de Android/SpyC23.A, a ameaça é distribuída através de versões falsas de populares apps de mensagens como o Telegram e Threema, oferecidas em uma “loja” chamada DigitalApps, controlada pelos malfeitores.

Segundo a ESET, o Android/SpyC23.A é uma variante de um malware conhecido desde 2017 e usado por um grupo hacker conhecido como APT-C-23 ou “Two-tailed Scorpion” (Escorpião com duas caudas). Em fevereiro deste ano o grupo chamou a atenção quando foi descoberto que estava a serviço do grupo islâmico Hamas, usando fotos de mulheres para infectar os smartphones de soldados israelenses.

O malware tem recursos como leitura de notificações de outros apps de mensagens, gravação de chamadas e de atividade na tela do celular, extração de registros de chamadas e mensagens SMS, roubo de arquivos como .doc, .pdf e .ppt e muito mais. Para se esconder no aparelho ele usa vários truques, entre eles ocultar notificações de apps de segurança.

Reprodução

“Loja” onde eram distribuídos os apps infectados com o Android/SpyC23.A. Imagem: ESET

Durante a instalação o Android/SpyC23.A usa engenharia social para convencer o usuário a lhe dar permissões ou desativar ferramentas de segurança. Por exemplo, ele tenta desativar o Play Protect alegando que isso é necessário para “mensagens privadas”. Na verdade o serviço analisa apps no momento da instalação e monitora o celular em busca de atividades suspeitas, e é parte importante do sistema de segurança do Android.

Uma vez instalado, o malware se conecta a um servidor de comando e controle (C2), onde aguarda ordens dos malfeitores. O endereço dos servidores é criptografado no código do app, para dificultar que seja descoberto por empresas de segurança.

Como o Android/SpyC23.A circula principalmente entre usuários no Oriente Médio, os brasileiros não tem muito com o que se preocupar. Mas fica a dica de sempre: para se proteger, instale apps apenas através do Google Play e tenha um antivírus em seu celular.

Fonte: ESET

Colunista

Rafael Rigues é colunista no Olhar Digital