Descoberto novo malware para Android e iOS

Paulo Matos,

A Kaspersky Lab tornou pública uma investigação que revela a existência de uma infraestrutura internacional utilizada para controlar de forma remota implementações de malware e que também permitiu identificar trojans móveis para Android e iOS até agora desconhecidos.

nova ameaça movel

Estes módulos fazem parte de uma solução ‘supostamente legal’, o Remote Control System (RSC), também conhecida como Galileo, desenvolvida pela companhia italiana Hacking Team.

A lista de vítimas que aparece nesta investigação, realizada pela Kaspersky Lab em conjunto com o seu parceiro Citizen Lab, inclui ativistas e defensores de direitos humanos, assim como jornalistas e políticos.

Para localizar e identificar os servidores de comando e controlo (C&C) do Galileo em todo o mundo, a Kaspersky Lab baseou-se em indicadores especiais e dados de conectividade obtidos por engenharia inversa das amostras existentes.

Durante as últimas análises, os investigadores da Kaspersky Lab conseguiram localizar mais de 320 servidores RCS C&C em 40 países, sendo que a maioria dos quais encontrava-se nos Estados Unidos, Cazaquistão, Equador, Reino Unido e Canadá.

“A presença destes servidores num determinado país não significa que estejam a ser utilizados por organismos policiais desse país. No entanto, faz sentido para os utilizadores do programa espião RCS implementar o seu C&C em lugares que estão sob o seu controlo – onde exista um risco mínimo de problemas jurídicos internacionais ou ataques de servidores”, avisa Sergey Golovanov, analista da Kaspersky Lab.

Refira-se que, embora se soubesse que os trojans móveis da HackingTeam para iOS e Android existiam, ninguém ainda os tinha identificado. Os analistas da Kaspersky Lab investigaram o malware RCS durante os últimos dois anos e, no início de 2014, foram identificadas algumas amostras de módulos móveis que coincidiam com perfis de configuração incluídos na coleção de malware RCS.

Durante a recente investigação, também foram recebidas novas variantes de amostras através da rede Kaspersky Security Nertwork, baseada na cloud. Além disso, os peritos da companhia trabalharam estreitamente com Morgan Marquis-Boire da Citizen Lab, que tem estado a investigar o conjunto de malware HackingTeam.

Para se ter noção do perigo desta ameaça, frise-se que os cibercriminosos que estão por detrás do Galileo RCS construíram um implante malicioso concreto para cada alvo. Uma vez pronta a amostra, o meliante depositava-a no dispositivo móvel da vítima. Alguns dos vetores de infeção conhecidos incluem spearphishing através de engenharia social – muitas vezes em conjunto com exploits, zero-days e infeções locais por cabos USB usados durante a sincronização dos dispositivos móveis.

Uma das principais descobertas foi saber exatamente como um trojan móvel Galileo infecta um iPhone – para tal, o dispositivo necessita de ter sido alvo de jailbreak. No entanto, não só os iPhones com jailbreak podem ficar vulneráveis, pois um cibercriminoso pode executar uma ferramenta de jailbreak como ‘Evasi0n’ através de um equipamento infetado previamente e realizar um jailbreak de forma remota e infetá-lo depois. Para evitar os riscos de infeção, os peritos da Kaspersky Lab recomendam que nunca se faça o jailbreak aos dispositivos iPhone e que se atualizem constantemente os iOS do dispositivo com a última versão.

Destaque-se igualmente que os módulos móveis RCS foram concebidos para operar de uma forma discreta. São implementados através de ações de ciberespionagem muito cuidadas, feitas à medida, ou com disparadores especiais: por exemplo, uma gravação de áudio pode começar só quando a vítima se liga a uma rede Wi-Fi em particular (como a rede de uma empresa), quando se muda o cartão SIM do dispositivo ou enquanto este está a ser carregado.

Em geral, os trojans RCS podem realizar diferentes funções de vigilância, como registar a localização, tirar fotos, copiar eventos do calendário, registar novos cartões SIM inseridos no dispositivo infetado e intercetar chamadas telefónicas e mensagens, incluindo as mensagens enviadas a partir de aplicações específicas, como Viber, WhatsApp e Skype, além das SMS.