O novo malware para Android Monokle foi desenvolvido por um empreiteiro de defesa russo e é equipado com uma série de recursos que permitem realizar vigilância de indivíduos selecionados, segundo informações da Lookout, empresa de segurança móvel.
Além de utilizar várias ferramentas intrusivas, incluindo a funcionalidade trojan de acesso remoto, técnicas avançadas de exfiltração de dados e a capacidade para modificar certificados confiáveis, aplicativos clientes podem ser controlados por mensagens SMS, TCP para segmento de escuta e para comando e controle, e-mails por meio de POP3 e SMTP e chamadas telefônicas; o Monokle também pode instalar certificados que permitem o acesso root ao dispositivo, e levem os invasores a implementarem sua missão de roubar dados.
Embora o malware esteja atualmente presente apenas em dispositivos Android, os pesquisadores dizem que várias amostras dele contêm objetos de transferência de dados que apontam para a existência de uma versão para iOS, sugerindo que o grupo poderia focar o malware para iPhones no futuro.
Acredita-se que o sofware malicioso data de 2016, com pequenas explosões de atividade contra alvos na região do Cáucaso – que abrange a Armênia, o Azerbaijão e a Geórgia – bem como alvos na Síria. O número total de usuários comprometidos atualmente não é conhecido. Também, é incerto a forma como é distribuído, mas os pesquisadores observam que algumas amostras do malware são construídas em torno de versões trojanizadas de aplicativos reais, completas com a mesma aparência e funcionalidade – e que o phishing pode desempenhar um papel na entrega.
A Lookout ligou a infraestrutura por trás da Monokle ao Special Technology Center (STC), uma empresa russa que trabalha em São Petersburgo. Pesquisadores dizem que ela vem trabalhando em um conjunto de aplicativos de segurança para Android que compartilham infraestrutura e links com o malware, incluindo o compartilhamento dos mesmos servidores de comando e controle.
Embora o Monokle não seja uma campanha generalizada, os pesquisadores dizem que o ele ainda está sendo implementado ativamente.
Via: ZDNet