Técnica foi usada para que usuários baixassem Kik Messenger. Ameaça atingiu Oriente Médio, EUA, França, Alemanha e China
A Avast, empresa de produtos de segurança digital, descobriu recentemente um spyware disfarçado de um aplicativo chamado Kik Messenger, o qual teria sido distribuído através de um site falso, porém, muito convincente.
Há alguns meses, a Avast detectou que seus clientes receberam mensagens estranhas por meio do Facebook Messenger. As mensagens vieram de perfis falsos criados na rede social. Eram de mulheres atraentes e fictícias, que incentivavam o usuário a baixar um outro aplicativo de bate-papo para continuar as conversas. No entanto, o chat era um spyware.
Ao aprofundar as investigações nos arquivos, a Avast encontrou os APKs pertencentes a várias mensagens falsas e apps de leitores de feed, os quais incluíam módulos maliciosos. Descobriu ainda que, infelizmente, muitos caíram na armadilha.
Após analisar o falso aplicativo Kik Messenger, a Avast detectou o spyware (ou APT-Advanced Persistent Threat). Nomeado “Tempting Cedar Spyware”, o malware foi dividido em diferentes módulos com comandos específicos e criados para roubar informações das vítimas – inclusive em tempo real -, como contatos, registros de chamadas, SMS, fotos, dados do dispositivo do usuário (versão do Android, modelo do aparelho, operador de rede e números de telefone), além de obter acesso ao sistema de arquivos do aparelho infectado. O spyware, por exemplo, foi capaz de monitorar os movimentos das pessoas por geolocalização, gravando sons ao redor como conversas enquanto as vítimas estavam no telefone, dentro do alcance.
Com base em diversas pistas de falsos perfis do Facebook e da infraestrutura da campanha, as evidências apontam que por trás do Tempting Cedar Spyware talvez esteja um grupo de cibercriminosos do Líbano. A campanha foi altamente segmentada e monitorada. No momento, a Avast é um dos poucos provedores de antivírus que detectou a ameaça através do Android:SpyAgent-YP [Trj].
A Avast observou um baixo número de vítimas dos EUA, França, Alemanha e China, sendo a maioria das vítimas do Oriente Médio. Devido ao potencial impacto do malware, a Avast contatou agências de segurança para ajudar na mitigação das ameaças.
O malware foi distribuído por meio do uso de vários perfis falsos do Facebook. Depois de conversas com suas vítimas, os cibercriminosos se ofereciam para levar a conversa do Facebook para uma outra plataforma, onde poderiam ter interações mais íntimas.
Em seguida, os invasores enviavam um link às vítimas, direcionando-as para um site de phishing, que hospedava uma versão maliciosa para download do app Kik Messenger. As vítimas tiveram que ajustar as configurações do dispositivo para “instalar aplicativos de fontes desconhecidas”, antes que o referido app de mensagens falsas fosse incluído. Depois de instalado, o malware imediatamente se conectava a um servidor de comando e controle (C&C). Persistente como um serviço, o malware era executado após cada reinicialização.
O spyware foi disseminado por pelo menos três perfis falsos no Facebook. Um fato interessante é que os três perfis falsos interagiram entre si na rede social, talvez para fazer com que seus perfis parecessem mais confiáveis.
O site usado para distribuir a cópia maliciosa do app Kik Messenger foi o chat-messenger.site (185.8.237.151). Muito convincente, o site esteve no ar até o ano passado.
A seguir, estão algumas dicas para que as pessoas evitem ser enganadas para baixar o malware:
Mesmo que, acidentalmente, a pessoa faça o download de um malware em seu dispositivo, o antivírus da Avast irá detectá-lo e removê-lo para manter seus dados e a sua privacidade protegidos.
Geralmente, os pais alertam seus filhos para não conversar com estranhos. Isto também vale para o mundo digital: falar com estranhos online não é diferente e não é uma boa ideia.
As vítimas dessa campanha de spyware foram levadas a fazer o download do spyware, porque confiavam nas mulheres com as quais estavam interagindo, apesar de nunca as conhecerem pessoalmente. Além disso, essas vítimas ignoraram os avisos do Android sobre o download de aplicativos de fontes desconhecidas.
Sempre que possível, vá diretamente para a página oficial da empresa – digitando a URL você mesmo. Isto porque geralmente os cibercriminosos promovem seus apps maliciosos para dispositivos móveis em seus próprios websites, para levar a vítima a baixar o malware.
