Entrar
bukib
0 bukibs
Columbus, Ohio
Hora local: 12:15
Temperatura: 10°C
Probabilidade de chuva: 0%

Malware se disfarça de WhatsApp, TikTok e YouTube no Android para te espionar

Malware se Disfarça de Aplicativos Populares no Android para Espionar Usuários

Uma pesquisa realizada pela companhia de cibersegurança Zimperium revelou uma campanha de spyware em celulares Android que simula aplicativos populares, como WhatsApp, TikTok e YouTube, para espionar usuários. Os principais alvos têm sido usuários russos, que são afetados através de canais do Telegram e sites maliciosos.

O vírus em questão consegue tomar o controle de SMS, histórico de chamadas e notificações, tirar fotos e até mesmo fazer ligações telefônicas. Mais de 600 casos foram observados pela Zimperium, feitos por mais de 50 droppers diferentes nos últimos três meses.

Como o Malware Funciona

A campanha ClayRat foi nomeada assim por conta do servidor de comando e controle (C2) dos cibercriminosos, e usa phishing cuidadosamente desenhado para imitar portais. Domínios maliciosos são registrados de modo a lembrar fortemente as páginas dos serviços legítimos. Esses locais recebem ou redirecionam usuários a canais do Telegram, onde APKs são baixados e instalados no celular sem conhecimento do usuário.

Os hackers chegam a adicionar páginas com comentários fakes, números de download inflados e uma interface que imita o visual da Play Store, com passo-a-passo de como instalar APKs de terceiros e burlar as defesas de segurança do Android. Alguns dos malwares são apenas droppers, imitando uma tela de atualização da Play Store que traz um payload encriptado ao usuário.

Comandos do Malware

O malware tem os seguintes comandos:

  • get_apps_list — envia uma lista dos apps instalados ao C2;
  • get_calls — envia histórico de chamadas;
  • get_camera — tira uma foto da câmera frontal e envia ao servidor golpista;
  • get_sms_list — extrai SMS;
  • messsms — envia SMS em massa a todos os contatos;
  • send_sms / make_call — envia SMS ou faz ligações;
  • notifications / get_push_notifications — captura notificações e dados de push;
  • get_device_info — coleta informações do dispositivo;
  • get_proxy_data — pega um proxy de URL WebSocket, adiciona ID do dispositivo e inicia um objeto de conexão;
  • retransmishion — reenvia SMS a um número recebido pelo C2.

A Zimperium enviou todas as informações pertinentes ao Google, e agora a Play Protect bloqueia todas as variantes conhecidas do spyware ClayRay. A empresa alerta que a campanha é massiva, pedindo cautela aos usuários: só instale aplicativos a partir da própria loja da Google, tomando cuidado para não acessar nada de terceiros ou burlar a segurança do celular para tal.

Este conteúdo pode conter links de compra.

Fonte: link