NOT√ćCIAS

Malware para Android transforma celular em marionete espi√£

Malware para Android transforma celular em marionete espi√£

by 26 de julho de 2017 0 comments

O worm RETADUP que afetou os hospitais israelenses √© realmente apenas parte de um ataque muito maior do que aparenta – pelo menos em termos de impacto. A Trend Micro – empresa especializada na defesa de amea√ßas digitais e seguran√ßa na era da nuvem ‚Äď descobriu que o antigo malware voltou a atuar ainda mais forte do que antes: um malware do Android que pode controlar o dispositivo.

Detectado pela Trend Micro como ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA, ele foi nomeado como GhostCtrl, pois pode controlar furtivamente muitas das funcionalidades do dispositivo infectado.

Existem tr√™s vers√Ķes do GhostCtrl. O primeiro rouba informa√ß√Ķes e controla algumas das funcionalidades do dispositivo, enquanto a segunda vers√£o pode sequestrar mais recursos do dispositivo. A terceira intera√ß√£o combina o melhor dos recursos das vers√Ķes anteriores e com base nas t√©cnicas empregadas, deve evoluir ainda mais.

O GhostCtrl √© literalmente um fantasma de si mesmo. √Č tamb√©m uma variante (ou pelo menos baseada) na multiplataforma OmniRAT, vendida comercialmente, que se tornou manchete em novembro de 2015.

Ele se vende como um produto que pode controlar remotamente sistemas Windows, Linux e Mac com o toque do botão de um dispositivo Android Рe vice-versa. Uma licença vitalícia para um pacote OmniRAT custa entre US$25 e US$75. Previsivelmente, há vários tutoriais de cracking do OmniRAT nos fóruns clandestinos, e alguns de seus membros até oferecem patches virtuais.

Na verdade, há um forte indicativo que prova que o APK malicioso é um spinoff do OmniRAT. Levando em conta que ele é um RAT como um serviço, isso pode ser modificado (ou removido) durante a compilação.

O GhostCtrl é persistente
O malware se passa por um aplicativo legítimo ou popular que usa nomes como App, MMS, WhatsApp e até mesmo o Pokémon GO. Quando o aplicativo é iniciado, a base64 decodifica a string do arquivo de recursos e a escreve, o que, na verdade, é o Pacote de Aplicativos do Android (APK) na versão maliciosa.

O APK malicioso, depois de clicado dinamicamente por uma APK wrapper, pedir√° ao usu√°rio para instal√°-lo. Segundo a Trend Micro, evitar isso √© muito complicado: mesmo que o usu√°rio cancele o prompt “pedido de instala√ß√£o”, a mensagem ainda assim ser√° exibida imediatamente. O APK malicioso n√£o possui um √≠cone e, ap√≥s instalado, vai iniciar um servi√ßo que permite que o APK malicioso principal seja executado no background:

Dispositivo marionete
Os comandos de C&C do servidor s√£o criptografados e decodificados localmente pelo APK ap√≥s o recebimento. Curiosamente, a Trend Micro descobriu que o backdoor se conecta a um dom√≠nio em vez de se conectar diretamente ao endere√ßo IP do servidor C&C. Isso pode ser uma tentativa de encobrir seu tr√°fego. Tamb√©m foram descobertos v√°rios servidores com nomes din√Ęmicos (DNS), que em algum momento levaram ao mesmo endere√ßo IP de C&C:

¬∑ hef‚Äďklife[.]ddns[.]net

¬∑ f‚Äďklife[.]ddns[.]net

· php[.]no-ip[.]biz

· ayalove[.]no-ip[.]biz

Um comando not√°vel inclui o c√≥digo de a√ß√£o e Object DATA, que permite aos atacantes especificarem o alvo e o conte√ļdo, fazendo com que esse seja um malware muito flex√≠vel para os cibercriminosos. Este √© o comando que permite que os invasores manipulem as funcionalidades do dispositivo sem o consentimento ou o conhecimento do propriet√°rio.

Outro comando exclusivo de C&C √© um comando de tipo integral, respons√°vel por roubar os dados do dispositivo. Diferentes tipos de dados sens√≠veis – e, para os cibercriminosos, valiosos – ser√£o coletados e carregados, incluindo registros de chamadas, registros de SMS, contatos, n√ļmeros de telefone, n√ļmero de s√©rie do SIM, localiza√ß√£o e marcadores do navegador.

O GhostCtrl rouba v√°rios dados, em compara√ß√£o com outros navegadores de informa√ß√Ķes Android. Al√©m dos dados mencionados acima, o GhostCtrl tamb√©m pode roubar informa√ß√Ķes como a vers√£o do sistema operacional Android, nome de usu√°rio, Wi-Fi, bateria, Bluetooth e estados de √°udio, UiMode, sensor, dados da c√Ęmera, navegador e pesquisas, processos de servi√ßo, informa√ß√Ķes de atividade e papel de parede.

Ele tamb√©m pode interceptar mensagens de texto de n√ļmeros de telefone especificados pelo atacante. Sua capacidade mais assustadora √© a habilidade de gravar de forma desapercebida a voz ou √°udio e carreg√°-los no servidor C&C em um determinado momento. Todo o conte√ļdo roubado ser√° criptografado antes de ser carregado no servidor C&C.

Os outros comandos de C&C s√£o definidos automaticamente, como “conta”, “Gestor de √°udio” e “√°rea de transfer√™ncia” e ir√£o desencadear rotinas maliciosas. Vale ressaltar que os recursos abaixo n√£o s√£o comumente vistos em RATs do Android:

· Eliminar/redefinir a senha de uma conta especificada pelo atacante;
· Fazer com que o telefone toque efeitos sonoros diferentes;
¬∑ Especificar o conte√ļdo na √°rea de transfer√™ncia;
¬∑ Personalizar o link de notifica√ß√£o e atalho, incluindo o estilo e o conte√ļdo;
· Controlar o Bluetooth para procurar e se conectar a outro dispositivo;
· Definir a acessibilidade para TRUE e encerrar uma chamada de telefone em andamento.

Como as vers√Ķes do GhostCtrl se unem?
A primeira vers√£o do GhostCtrl possui uma estrutura que permite ganhar privil√©gios do n√≠vel de administrador. Os recursos a serem sequestrados tamb√©m aumentaram √† medida que o malware evoluiu para suas segundas e terceiras intera√ß√Ķes.

A segunda vers√£o do GhostCtrl tamb√©m pode ser um ransomware m√≥vel. Pode bloquear a tela do dispositivo e redefinir sua senha e tamb√©m rotear o dispositivo infectado. Tamb√©m pode sequestrar a c√Ęmera, criar uma tarefa agendada de tirar fotos ou gravar v√≠deo e, em seguida, carreg√°-las de forma desapercebida no servidor C&C como arquivos mp4.

Mitigação
A combina√ß√£o do GhostCtrl com um bug de roubo de informa√ß√Ķes, apesar de potente, tamb√©m √© bem reveladora. Os atacantes tentaram cobrir suas bases e se certificaram de n√£o infectar apenas os endpoints. E com a ubiquidade de dispositivos m√≥veis entre usu√°rios finais corporativos e cotidianos, as capacidades do GhostCtrl podem, de fato, ser bem assustadoras.

Mas, mais do que o seu impacto, o GhostCtrl ressalta a import√Ęncia de uma prote√ß√£o completa. Mecanismos de seguran√ßa multicamadas devem ser implantados para que os riscos aos dados sejam melhor gerenciados. Algumas das melhores pr√°ticas que os profissionais da seguran√ßa da informa√ß√£o e os administradores de TI/sistema podem adotar para proteger os dispositivos BYOD incluem:

· Mantenha o dispositivo atualizado;
¬∑ Aplique o princ√≠pio de permiss√Ķes para usu√°rios com menos privil√©gios para evitar o acesso n√£o autorizado e a instala√ß√£o de aplicativos duvidosos;
· Implemente um sistema de reputação de aplicativos que possa detectar e bloquear aplicativos maliciosos e suspeitos;
· Implante firewalls, detecção de intrusão e sistemas de prevenção tanto no endpoint quanto nos níveis de dispositivos móveis para prevenir as atividades de rede maliciosas do malware;
· Aplique e fortaleça suas políticas de gerenciamento de dispositivos móveis para reduzir ainda mais riscos potenciais de segurança;
· Utilize criptografia, segmentação de rede e segregação de dados para limitar a exposição ou danos aos dados;
· Regularmente faça backup dos dados em caso de perda de dispositivo, roubo ou criptografia maliciosa.

Acesse os outros sites da VideoPress

Portal Vida Moderna – www.vidamoderna.com.br

Radar Nacional – www.radarnacional.com.br

Nenhum Coment√°rio

Seja o Primeiro a Comentar Este Post

Nenhum Coment√°rio Ainda!

Seja o Primeiro a fazer um coment√°rio.

Deixe uma resposta

<

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *