Novo Spyware Android Criado por Russian Defense Contractor Encontrado no Wild - Anonymous Hacker

[Latest News][10]

Análise de Vulnerabilidade
ANDROID
ANONYMOUS
ANTI-DDOS
ANTI-SPYWARES E ADWARES
APK PRO
APOSTILAS
CIÊNCIA
CURSO PHP
CURSO TCP / IP
CURSOS
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
DICAS
DOCUMENTARIO
DoS
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
INVASÕES
IPHONE
JOGOS
KALI LINUX
Lixão
MAC OS
Malware
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Novo Spyware Android Criado por Russian Defense Contractor Encontrado no Wild

Novo Spyware Android Criado por Created by Russian Defense Contractor Encontrado no Wild


Pesquisadores de segurança cibernética descobriram uma nova peça de malware de vigilância móvel que se acredita ter sido desenvolvida por um empreiteiro de defesa russo que foi punido por interferir na eleição presidencial dos EUA em 2016.

Apelidado de Monokle , o trojan de acesso remoto móvel tem visado ativamente os telefones Android desde pelo menos março de 2016 e está sendo usado principalmente em ataques altamente direcionados a um número limitado de pessoas.

De acordo com pesquisadores de segurança da Lookout, a Monokle possui uma ampla gama de funcionalidades de espionagem e usa técnicas avançadas de exfiltração de dados, mesmo sem exigir acesso root a um dispositivo alvo.

Quão ruim é Malware de Vigilância Monokle


Em particular, o malware abusa os serviços de acessibilidade do Android para exfiltrar dados de um grande número de aplicativos populares de terceiros, incluindo Google Docs, mensageiro do Facebook, Whatsapp, WeChat e Snapchat, lendo texto exibido na tela de um dispositivo a qualquer momento. . O malware também extrai dicionários de texto preditivo definidos pelo usuário para "ter uma noção dos tópicos de interesse de um alvo" e também tenta gravar a tela do telefone durante um evento de desbloqueio de tela para comprometer o PIN, o padrão ou a senha do telefone. .



Além disso, se o acesso à raiz estiver disponível, o spyware instalará os certificados de CA raiz especificados pelo invasor na lista de certificados confiáveis ​​de um dispositivo comprometido, permitindo que os invasores interceptem facilmente o tráfego de rede criptografado protegido por SSL por meio do Man-in-the- Ataques do meio (MiTM).

Outras funcionalidades do Monokle incluem:

  • Rastrear localização do dispositivo
  • Grave áudio e chamadas
  • Faça gravações de tela
  • Keylogger e impressão digital de dispositivos
  • Recuperar histórias de navegação e chamadas
  • Tire fotos, vídeos e capturas de tela
  • Recuperar emails, mensagens de texto e mensagens
  • Roubar contatos e informações de calendário
  • fazer chamadas e enviar mensagens de texto em nome das vítimas
  • Executar comandos shell arbitrários, como root, se o acesso root estiver disponível

No total, o Monokle contém 78 comandos pré-definidos diferentes, que os atacantes podem enviar por SMS, telefonemas, troca de mensagens de e-mail através de POP3 e SMTP e conexões TCP de entrada / saída, instruindo o malware a exfiltrar os dados solicitados e enviá-los ao comando remoto do atacante. servidores de controle.

Spyware Disguises como PornHub e Google Android Apps


De acordo com os pesquisadores, os atacantes estão distribuindo o Monokle por meio de aplicativos falsos que se parecem com o Evernote, o Google Play, o PornHub, o Signal, o UC Browser, o Skype e outros aplicativos Android populares.


A maioria desses aplicativos inclui até mesmo funcionalidades legítimas, impedindo que usuários direcionados suspeitem que os aplicativos sejam mal-intencionados.

Além disso, alguns exemplos recentes do Monokle vêm inclusivamente com módulos Xposed que permitem que o malware personalize algumas funcionalidades do sistema, aumentando a sua capacidade de ligar e ocultar a presença na lista de processos.

O pacote de malware usa um arquivo DEX em sua pasta de ativos que "inclui todas as funções criptográficas implementadas na biblioteca de código aberto" spongycastle ", vários protocolos de email, extração e exfiltração de dados, serialização e desserialização de dados usando o protocolo Thrift e root e enganchando funcionalidade, entre outros ".


O novo malware Android e seus recursos nos lembram do poderoso malware de vigilância  Pegasus , desenvolvido pela NSO Group , de  Israel,  para dispositivos Apple iOS e Google Android.

No entanto, ao contrário do spyware russo Monokle, o Pegasus  vem com poderosas explorações de dia zero que instalam o spyware em um dispositivo de destino  com pouca ou nenhuma interação do usuário.

A Pegasus já foi usada anteriormente em ativistas de direitos humanos e jornalistas, do  México  aos  Emirados Árabes Unidos  e novamente no ano passado contra um funcionário da Anistia Internacional na  Arábia Saudita .

Contratante de Defesa da Rússia STC Developed Monokle Malware


O Monokle foi desenvolvido por uma empresa sediada na Rússia, chamada Special Technology Center Ltd. (STC) - um empreiteiro de defesa privada conhecido por produzir UAVs e equipamentos de radiofrequência (RF) para militares russos, bem como outros clientes do governo.


De acordo com os pesquisadores da Lookout, a suíte de segurança Android da Monokle e da STC, chamada Defender, é assinada digitalmente com os mesmos certificados criptográficos e também compartilha a mesma infra-estrutura de comando e controle.
"A infra-estrutura de comando e controle que se comunica com o aplicativo Defender também se comunica com amostras Monokle. Os certificados de assinatura usados ​​para assinar pacotes de aplicativos Android se sobrepõem entre Defender e Monokle também", de acordo com o relatório.
"A sobreposição adicional foi observada pelos pesquisadores da Lookout entre a Monokle e o software de segurança defensivo produzido pela STC nas opções de desenvolvimento e implementação dos autores."

Monokle para iOS em desenvolvimento


Além do Android, os pesquisadores também encontraram algumas amostras de malware Monokle, cuja análise revelou a existência de versões iOS do Monokle direcionadas aos dispositivos da Apple, embora os pesquisadores não tenham encontrado nenhuma evidência de qualquer infecção ativa no iOS até o momento.

Alguns comandos nas amostras de malware parecem não servir como parte do cliente Android e provavelmente foram adicionados de forma não intencional, o que sugere que as versões iOS do Monokle podem estar em desenvolvimento.

Esses comandos incluem funções do iOS para o keychain, conexões do iCloud, dados do acelerômetro do Apple iWatch, permissões do iOS e outros recursos ou serviços do iOS.

De acordo com pesquisadores da Lookout, Monokle é usado em ataques altamente direcionados contra um número limitado de pessoas nas regiões do Cáucaso da Europa Oriental, bem como indivíduos interessados ​​no Islã e no grupo militante Ahrar al-Sham na Síria e indivíduos no país da Ásia Central. e ex-república soviética do Uzbequistão.

Para mais informações, pode dirigir-se ao relatório detalhado publicado pela Lookout.

Sobre

trabalho com segurança da informação a 13 anos, grande parte desse tempo como professor. Fiz meu bacharelado em ciência da computação, especialização em segurança da informação e logo após, mestrado em ciência da informação.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search