Em maio deste ano, pesquisadores de segurança da empresa Trend Micro detectaram um site, que tentava se passar pelo Google, e fazia o download de um aplicativo chamado Chatrious. Após baixar o app, o malware CallerSpy era instalado nos dispositivos Android dos usuários.
Assim que a descoberta foi feita, o site ficou offline, possivelmente porque os invasores decidiram dar um tempo em suas atividades para esperar o momento mais oportuno para realizar novos ataques.
Aparentemente, esse momento chegou. Foi encontrada uma atualização do aplicativo de bate-papo infectado, desta vez chamado Apex App, mas ainda implantando o CallerSpy em dispositivos que realizam o seu download.
Mais uma vez, os cibercriminosos utilizaram um site que usa um domínio falso semelhante ao do Google (com um “O” adicional em sua URL) para espalhar o malware.
Como o malware funciona?
Ao ser instalado em um dispositivo Android, o CallerSpy se conecta imediatamente a um servidor C&C para coletar registros de chamadas, arquivos, mensagens de texto e realizar capturas de tela.
“Todas as informações roubadas são coletadas e armazenadas em um banco de dados local antes de serem carregadas no servidor C&C periodicamente. Esse spyware tem como alvo os seguintes tipos de arquivo: jpg, jpeg, png, docx, xls, xlsx, ppt, pptx, pdf, doc, txt, csv, aac, amr, m4a, opus, wav e amr”, explica um dos pesquisadores responsáveis pela descoberta.
A empresa de segurança acredita que esta é apenas a primeira fase de uma campanha de espionagem cibernética, embora, por enquanto, ainda não esteja claro quem os atacantes estão realmente perseguindo com esse malware. Não há registro de nenhuma vítima até o momento.
Para se prevenir, é sempre recomendado que não se baixe aplicativos de locais que não sejam as próprias lojas dos smartphones Android. Vale lembrar também que é sempre válido verificar a URL dos sites que oferecem o download de algum arquivo. São nos detalhes que os golpes existentes na internet são descobertos.
Via: Trend Micro