Na última terça-feira (1º), a Kaspersky, empresa de cibersegurança, publicou um relatório técnico sobre um novo programa espião desenvolvido pelo Transparent Tribe, um grupo especializado em ameaças tecnológicas avançadas capaz de disfarçar malwares de aplicativos com conteúdo adulto ou com informações oficiais sobre a Covid-19.
A pandemia se tornou o contexto perfeito para que grupos especializados criem novos ataques por meio da engenharia digital. Neste caso, a Transparent Tribe, que já é monitorada pela Kaspersky há mais de quatro anos, tem trabalhado ativamente para melhorar seu conjunto de ferramentas, a fim de expandir seu alcance para os dispositivos móveis.
“As constatações reforçam o empenho dos membros da Transparent Tribe para adicionar novas ferramentas para expandir ainda mais suas operações e alcançar suas vítimas por diferentes vetores de ataque, que agora incluem dispositivos móveis. Também observamos que o grupo está trabalhando constantemente para melhorar e modificar as ferramentas que usa. Para se proteger dessas ameaças, os usuários precisam ter mais cuidado do que nunca ao acessar fontes de download de conteúdo e verificar se os dispositivos estão seguros. Isso é especialmente importante para aqueles que sabem que podem se tornar alvo de um ataque APTs”, explicou Giampaolo Dedola, pesquisador sênior de Segurança da Kaspersky.
Malware no celular. Imagem: MaryValery/Shutterstock
De acordo com a investigação, foi encontrado um malware para Android desenvolvido para espionar dispositivos nos quais os usuários baixassem dois aplicativos distribuídos na Índia: um para rastreamento da Covid-19 e outro que dá acesso a conteúdo pornográfico.
Quanto ao primeiro aplicativo, se tratava de uma versão modificada de um player de vídeo simples com código para Android que, ao ser instalado, exibe conteúdo adulto como distração. O segundo, por sua vez, foi batizado de “Aarogya Setu”, nome semelhante ao dado ao aplicativo de rastreamento da pandemia criado pelo governo da Índia. A associação entre o grupo e os dois aplicativos foi feita a partir dos domínios usado para hospedar os arquivos maliciosos.
Depois de baixados, ambos os aplicativos tentam instalar um novo pacote de arquivos Android com ferramentas de acesso remoto para o malware Android AhMyth, que pode ser baixado no GitHub gratuitamente.
Os aplicativos disfarçados são capazes de baixar novos aplicativos no celular, acessar mensagens SMS, microfone, registros de chamadas, rastrear a localização do dispositivo, além de listar e carregar arquivos em um servidor externo por meio do dispositivo.