Novo Spyware Android Criado por Created by Russian Defense Contractor Encontrado no Wild
Pesquisadores de segurança cibernética descobriram uma nova peça de malware de vigilância móvel que se acredita ter sido desenvolvida por um empreiteiro de defesa russo que foi punido por interferir na eleição presidencial dos EUA em 2016.
Apelidado de Monokle , o trojan de acesso remoto móvel tem visado ativamente os telefones Android desde pelo menos março de 2016 e está sendo usado principalmente em ataques altamente direcionados a um número limitado de pessoas.
De acordo com pesquisadores de segurança da Lookout, a Monokle possui uma ampla gama de funcionalidades de espionagem e usa técnicas avançadas de exfiltração de dados, mesmo sem exigir acesso root a um dispositivo alvo.
Em particular, o malware abusa os serviços de acessibilidade do Android para exfiltrar dados de um grande número de aplicativos populares de terceiros, incluindo Google Docs, mensageiro do Facebook, Whatsapp, WeChat e Snapchat, lendo texto exibido na tela de um dispositivo a qualquer momento. . O malware também extrai dicionários de texto preditivo definidos pelo usuário para "ter uma noção dos tópicos de interesse de um alvo" e também tenta gravar a tela do telefone durante um evento de desbloqueio de tela para comprometer o PIN, o padrão ou a senha do telefone. .
Além disso, se o acesso à raiz estiver disponível, o spyware instalará os certificados de CA raiz especificados pelo invasor na lista de certificados confiáveis de um dispositivo comprometido, permitindo que os invasores interceptem facilmente o tráfego de rede criptografado protegido por SSL por meio do Man-in-the- Ataques do meio (MiTM).
Outras funcionalidades do Monokle incluem:
No total, o Monokle contém 78 comandos pré-definidos diferentes, que os atacantes podem enviar por SMS, telefonemas, troca de mensagens de e-mail através de POP3 e SMTP e conexões TCP de entrada / saída, instruindo o malware a exfiltrar os dados solicitados e enviá-los ao comando remoto do atacante. servidores de controle.
De acordo com os pesquisadores, os atacantes estão distribuindo o Monokle por meio de aplicativos falsos que se parecem com o Evernote, o Google Play, o PornHub, o Signal, o UC Browser, o Skype e outros aplicativos Android populares.
Apelidado de Monokle , o trojan de acesso remoto móvel tem visado ativamente os telefones Android desde pelo menos março de 2016 e está sendo usado principalmente em ataques altamente direcionados a um número limitado de pessoas.
De acordo com pesquisadores de segurança da Lookout, a Monokle possui uma ampla gama de funcionalidades de espionagem e usa técnicas avançadas de exfiltração de dados, mesmo sem exigir acesso root a um dispositivo alvo.
Quão ruim é Malware de Vigilância Monokle
Em particular, o malware abusa os serviços de acessibilidade do Android para exfiltrar dados de um grande número de aplicativos populares de terceiros, incluindo Google Docs, mensageiro do Facebook, Whatsapp, WeChat e Snapchat, lendo texto exibido na tela de um dispositivo a qualquer momento. . O malware também extrai dicionários de texto preditivo definidos pelo usuário para "ter uma noção dos tópicos de interesse de um alvo" e também tenta gravar a tela do telefone durante um evento de desbloqueio de tela para comprometer o PIN, o padrão ou a senha do telefone. .
Além disso, se o acesso à raiz estiver disponível, o spyware instalará os certificados de CA raiz especificados pelo invasor na lista de certificados confiáveis de um dispositivo comprometido, permitindo que os invasores interceptem facilmente o tráfego de rede criptografado protegido por SSL por meio do Man-in-the- Ataques do meio (MiTM).
Outras funcionalidades do Monokle incluem:
- Rastrear localização do dispositivo
- Grave áudio e chamadas
- Faça gravações de tela
- Keylogger e impressão digital de dispositivos
- Recuperar histórias de navegação e chamadas
- Tire fotos, vídeos e capturas de tela
- Recuperar emails, mensagens de texto e mensagens
- Roubar contatos e informações de calendário
- fazer chamadas e enviar mensagens de texto em nome das vítimas
- Executar comandos shell arbitrários, como root, se o acesso root estiver disponível
No total, o Monokle contém 78 comandos pré-definidos diferentes, que os atacantes podem enviar por SMS, telefonemas, troca de mensagens de e-mail através de POP3 e SMTP e conexões TCP de entrada / saída, instruindo o malware a exfiltrar os dados solicitados e enviá-los ao comando remoto do atacante. servidores de controle.
Spyware Disguises como PornHub e Google Android Apps
De acordo com os pesquisadores, os atacantes estão distribuindo o Monokle por meio de aplicativos falsos que se parecem com o Evernote, o Google Play, o PornHub, o Signal, o UC Browser, o Skype e outros aplicativos Android populares.
A maioria desses aplicativos inclui até mesmo funcionalidades legítimas, impedindo que usuários direcionados suspeitem que os aplicativos sejam mal-intencionados.
Além disso, alguns exemplos recentes do Monokle vêm inclusivamente com módulos Xposed que permitem que o malware personalize algumas funcionalidades do sistema, aumentando a sua capacidade de ligar e ocultar a presença na lista de processos.
O pacote de malware usa um arquivo DEX em sua pasta de ativos que "inclui todas as funções criptográficas implementadas na biblioteca de código aberto" spongycastle ", vários protocolos de email, extração e exfiltração de dados, serialização e desserialização de dados usando o protocolo Thrift e root e enganchando funcionalidade, entre outros ".
O novo malware Android e seus recursos nos lembram do poderoso malware de vigilância Pegasus , desenvolvido pela NSO Group , de Israel, para dispositivos Apple iOS e Google Android.
No entanto, ao contrário do spyware russo Monokle, o Pegasus vem com poderosas explorações de dia zero que instalam o spyware em um dispositivo de destino com pouca ou nenhuma interação do usuário.
A Pegasus já foi usada anteriormente em ativistas de direitos humanos e jornalistas, do México aos Emirados Árabes Unidos e novamente no ano passado contra um funcionário da Anistia Internacional na Arábia Saudita .
O Monokle foi desenvolvido por uma empresa sediada na Rússia, chamada Special Technology Center Ltd. (STC) - um empreiteiro de defesa privada conhecido por produzir UAVs e equipamentos de radiofrequência (RF) para militares russos, bem como outros clientes do governo.
Além disso, alguns exemplos recentes do Monokle vêm inclusivamente com módulos Xposed que permitem que o malware personalize algumas funcionalidades do sistema, aumentando a sua capacidade de ligar e ocultar a presença na lista de processos.
O pacote de malware usa um arquivo DEX em sua pasta de ativos que "inclui todas as funções criptográficas implementadas na biblioteca de código aberto" spongycastle ", vários protocolos de email, extração e exfiltração de dados, serialização e desserialização de dados usando o protocolo Thrift e root e enganchando funcionalidade, entre outros ".
O novo malware Android e seus recursos nos lembram do poderoso malware de vigilância Pegasus , desenvolvido pela NSO Group , de Israel, para dispositivos Apple iOS e Google Android.
No entanto, ao contrário do spyware russo Monokle, o Pegasus vem com poderosas explorações de dia zero que instalam o spyware em um dispositivo de destino com pouca ou nenhuma interação do usuário.
A Pegasus já foi usada anteriormente em ativistas de direitos humanos e jornalistas, do México aos Emirados Árabes Unidos e novamente no ano passado contra um funcionário da Anistia Internacional na Arábia Saudita .
Contratante de Defesa da Rússia STC Developed Monokle Malware
O Monokle foi desenvolvido por uma empresa sediada na Rússia, chamada Special Technology Center Ltd. (STC) - um empreiteiro de defesa privada conhecido por produzir UAVs e equipamentos de radiofrequência (RF) para militares russos, bem como outros clientes do governo.
De acordo com os pesquisadores da Lookout, a suíte de segurança Android da Monokle e da STC, chamada Defender, é assinada digitalmente com os mesmos certificados criptográficos e também compartilha a mesma infra-estrutura de comando e controle.
Além do Android, os pesquisadores também encontraram algumas amostras de malware Monokle, cuja análise revelou a existência de versões iOS do Monokle direcionadas aos dispositivos da Apple, embora os pesquisadores não tenham encontrado nenhuma evidência de qualquer infecção ativa no iOS até o momento.
Alguns comandos nas amostras de malware parecem não servir como parte do cliente Android e provavelmente foram adicionados de forma não intencional, o que sugere que as versões iOS do Monokle podem estar em desenvolvimento.
Esses comandos incluem funções do iOS para o keychain, conexões do iCloud, dados do acelerômetro do Apple iWatch, permissões do iOS e outros recursos ou serviços do iOS.
De acordo com pesquisadores da Lookout, Monokle é usado em ataques altamente direcionados contra um número limitado de pessoas nas regiões do Cáucaso da Europa Oriental, bem como indivíduos interessados no Islã e no grupo militante Ahrar al-Sham na Síria e indivíduos no país da Ásia Central. e ex-república soviética do Uzbequistão.
Para mais informações, pode dirigir-se ao relatório detalhado publicado pela Lookout.
"A infra-estrutura de comando e controle que se comunica com o aplicativo Defender também se comunica com amostras Monokle. Os certificados de assinatura usados para assinar pacotes de aplicativos Android se sobrepõem entre Defender e Monokle também", de acordo com o relatório.
"A sobreposição adicional foi observada pelos pesquisadores da Lookout entre a Monokle e o software de segurança defensivo produzido pela STC nas opções de desenvolvimento e implementação dos autores."
Monokle para iOS em desenvolvimento
Além do Android, os pesquisadores também encontraram algumas amostras de malware Monokle, cuja análise revelou a existência de versões iOS do Monokle direcionadas aos dispositivos da Apple, embora os pesquisadores não tenham encontrado nenhuma evidência de qualquer infecção ativa no iOS até o momento.
Alguns comandos nas amostras de malware parecem não servir como parte do cliente Android e provavelmente foram adicionados de forma não intencional, o que sugere que as versões iOS do Monokle podem estar em desenvolvimento.
Esses comandos incluem funções do iOS para o keychain, conexões do iCloud, dados do acelerômetro do Apple iWatch, permissões do iOS e outros recursos ou serviços do iOS.
De acordo com pesquisadores da Lookout, Monokle é usado em ataques altamente direcionados contra um número limitado de pessoas nas regiões do Cáucaso da Europa Oriental, bem como indivíduos interessados no Islã e no grupo militante Ahrar al-Sham na Síria e indivíduos no país da Ásia Central. e ex-república soviética do Uzbequistão.
Para mais informações, pode dirigir-se ao relatório detalhado publicado pela Lookout.
