Pesquisadores do Cisco Talos Intelligence Group, composto por analistas e engenheiros que monitoram ameaças digitais, alertam para um novo malware para Android que visa usuários de apps como o WhatsApp, Facebook e Line.

Batizado de WolfRAT, o malware está circulando entre usuários na Tailândia e é uma variante do DenDroid, uma ferramenta de acesso remoto (RAT – Remote Access Tool) cujo código-fonte vazou em 2015. Na época o DenDroid era considerado uma ameaça bastante sofisticada, vendida em fóruns por cerca de US$ 300 (cerca de R$ 1.700).

O WolfRAT infecta aparelhos através de falsas atualizações de aplicativos e serviços populares, como o Google Play. Se a vítima morder a isca e instalar a “atualização”, o malware começa o processo de coleta de dados, incluindo captura de fotos e vídeos da tela, interceptação de mensagens SMS, gravação de áudio e transferência de arquivos para um servidor controlado pelos malfeitores.

Além de copiar o histórico de navegação da vítima, o malware tenta interceptar conversas em apps de mensagens. Se o WhatsApp estiver aberto, por exemplo, o WolfRAT inicia a cada 50 segundos um processo de gravação de tela, que só termina quando o app for fechado.

Segundo o Talos, os servidores de comando e controle (C2) do malware estão localizados na Tailândia. O WolfRAT parece ser trabalho da Wolf Research, fabricante de spyware que vendia ferramentas de vigilância para governos. Oficialmente a empresa encerrou suas atividades, mas ex-membros ainda podem estar na ativa. O código do malware também tem referências à Coralco Tech, outra fabricante de spyware sediada no Chipre.

Entretanto, segundo os pesquisadores a “falta de sofisticação” do WolfRAT é surpreendente, especialmente considerando o trabalho anterior da Wolf Research. O malware contém código duplicado, “morto” (que nunca é utilizado pelo programa), componentes instáveis e erros de programação, além de trechos “copiados e colados” de ferramentas de Software Livre.

O Talos afirma que o WolfRAT ainda está em constante desenvolvimento, e a pressa de cumprir um prazo ou atender às expectativas de um cliente pode ter resultado na falta de qualidade no software.

“A Wolf Research supostamente encerrou suas atividades, mas vemos claramente que seu trabalho passado continua de forma dissimulada”, disseram os pesquisadores. “A capacidade de executar estas atividades de coleta de inteligência nos smartphones representa uma grande vitória para o operador do malware. Detalhes de conversas e históricos de mensagens carregam informações sensíveis, e as pessoas ignoram isto quando esta comunicação ocorre em um smartphone”, afirmam.

Fonte: ZDnet