Cuidado! Se você possui um dos gerenciadores de arquivos e aplicativos de fotografia abaixo mencionados, instalados no seu telefone Android - mesmo que baixado da loja oficial da Google Store - você foi hackeado e esta sendo rastreado.
Esses aplicativos Android maliciosos recém-detectados são Camero, FileCrypte callCam, que se acredita estarem ligados ao Sidewinder APT, um sofisticado grupo de hackers especializado em ataques de espionagem cibernética.
De acordo com pesquisadores de segurança cibernética da Trend Micro, esses aplicativos estavam explorando uma vulnerabilidade crítica de uso após livre no Androidpelo menos desde março do ano passado - sete meses antes da descoberta da mesma falha no dia zero, quando um pesquisador do Google analisou um ataque separado desenvolvido pelo fornecedor de vigilância israelense NSO Group.
"Especulamos que esses aplicativos estejam ativos desde março de 2019 com base nas informações de certificado de um deles", disseram os pesquisadores .
Esses aplicativos Android maliciosos recém-detectados são Camero, FileCrypte callCam, que se acredita estarem ligados ao Sidewinder APT, um sofisticado grupo de hackers especializado em ataques de espionagem cibernética.
De acordo com pesquisadores de segurança cibernética da Trend Micro, esses aplicativos estavam explorando uma vulnerabilidade crítica de uso após livre no Androidpelo menos desde março do ano passado - sete meses antes da descoberta da mesma falha no dia zero, quando um pesquisador do Google analisou um ataque separado desenvolvido pelo fornecedor de vigilância israelense NSO Group.
"Especulamos que esses aplicativos estejam ativos desde março de 2019 com base nas informações de certificado de um deles", disseram os pesquisadores .
Controlada como CVE-2019-2215 , a vulnerabilidade é um problema de escalação de privilégios local que permite o comprometimento total da raiz de um dispositivo vulnerável e também pode ser explorado remotamente quando combinado com uma falha de renderização do navegador separada.
Este spyware secretamente enraíza seu telefone Android
De acordo com a Trend Micro, o FileCrypt Manager e o Camero agem como conta-gotas e se conectam a um servidor de comando e controle remoto para baixar um arquivo DEX, que baixa o aplicativo callCam e tenta instalá-lo, explorando vulnerabilidades de escalonamento de privilégios ou abusando do recurso de acessibilidade.
"Tudo isso é feito sem a conscientização ou intervenção do usuário. Para evitar a detecção, ele usa muitas técnicas, como ofuscação, criptografia de dados e chamada de código dinâmico", disseram os pesquisadores.
Uma vez instalada, a callCam oculta seu ícone no menu, coleta as seguintes informações do dispositivo comprometido e as envia de volta ao servidor C&C do invasor em segundo plano:
- Localização
- Status da bateria
- Arquivos no dispositivo
- Lista de aplicativos instalados
- Informação de dispositivo
- Informações do sensor
- Informações da câmera
- Captura de tela
- Conta
- Informação Wifi
- Dados do WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail e Chrome.
Além do CVE-2019-2215, os aplicativos maliciosos também tentam explorar uma vulnerabilidade separada no driver MediaTek-SU para obter privilégios de root e permanecer persistente em uma ampla variedade de aparelhos Android.
Com base na sobreposição na localização dos servidores de comando e controle, os pesquisadores atribuíram a campanha ao SideWinder, que se acredita ser um grupo de espionagem indiano que historicamente visava organizações ligadas às Forças Armadas do Paquistão.
Como proteger o telefone Android de malware
O Google agora removeu todos os aplicativos maliciosos mencionados acima da Play Store, mas como os sistemas do Google não são suficientes para manter aplicativos ruins fora da loja oficial, você deve ter muito cuidado ao baixar aplicativos.
Para verificar se o seu dispositivo está sendo infectado por esse malware, vá para as configurações do sistema Android → App Manager, procure os nomes dos pacotes listados e desinstale-o.
Para proteger seu dispositivo contra a maioria das ameaças cibernéticas, é recomendável tomar precauções simples, mas eficazes, como:
- mantenha dispositivos e aplicativos atualizados,
- evitar downloads de aplicativos de fontes desconhecidas,
- sempre preste muita atenção às permissões solicitadas pelos aplicativos,
- faça backup frequentemente dos dados e
- instale um bom aplicativo antivírus que proteja contra esse malware e ameaças semelhantes.
Para impedir que você seja direcionado por esses aplicativos, sempre tome cuidado com aplicativos suspeitos, mesmo ao fazer o download da Google Play Store, e tente se ater apenas às marcas confiáveis. Além disso, sempre verifique as avaliações de aplicativos deixadas por outros usuários que fizeram o download e verifique as permissões antes de instalar qualquer aplicativo e conceda apenas as permissões relevantes para a finalidade do aplicativo.
