Como o malware age no dispositivo
O vírus assume controle completo de funções sensíveis do smartphone. Ele acessa mensagens SMS, histórico de chamadas e todas as notificações do sistema.
Além disso, o malware pode tirar fotos usando a câmera frontal sem o conhecimento do usuário. Também realiza ligações telefônicas automaticamente, ampliando seu potencial de dano.
Funcionalidades invasivas
- notifications ou get_push_notifications: captura alertas de aplicativos de mensagem, redes sociais e transações bancárias.
- get_device_info: coleta informações detalhadas sobre o dispositivo infectado, criando um perfil completo do usuário.
- get_apps_list: envia lista completa dos aplicativos instalados para o servidor de comando e controle (C2).
- get_calls: transmite todo o histórico de chamadas realizadas e recebidas.
Capacidades de espionagem avançada
Uma das funcionalidades mais preocupantes é o get_camera. Ele tira uma foto da câmera frontal e envia imediatamente ao servidor golpista.
Isso significa que os criminosos podem visualizar o usuário sem que ele perceba, representando uma violação grave da privacidade. A ferramenta também pode ativar outras câmeras do dispositivo, se disponíveis.
Controle sobre comunicações
- messsms: envia SMS em massa para todos os contatos da agenda telefônica, podendo disseminar links maliciosos ou aplicar golpes.
- send_sms ou make_call: permite envio individual de mensagens ou realização de ligações específicas, dando controle total sobre as comunicações.
- retransmishion: reenvia SMS recebidos para um número específico determinado pelo C2, interceptando códigos de verificação e mensagens confidenciais.
Infraestrutura técnica do ataque
O get_proxy_data desempenha um papel crucial na operação do malware. Ele realiza múltiplas funções simultaneamente:
- Pega um proxy de URL WebSocket.
- Adiciona o ID do dispositivo infectado.
- Inicia um objeto de conexão seguro com os servidores dos criminosos.
- Converte protocolos HTTP/HTTPS para WebSocket, garantindo comunicação contínua e discreta.
A mesma função agenda tarefas automáticas no dispositivo, permitindo que o malware opere de forma autônoma. Essa automação torna a detecção mais difícil.
Evolução da ameaça
Mais de 50 droppers diferentes foram observados nos últimos três meses. Os droppers são aplicativos que servem como veículo para instalar o malware principal, frequentemente disfarçados como atualizações legítimas.
Alcance e distribuição da ameaça
Mais de 600 casos foram observados pela Zimperium, empresa especializada em segurança móvel. Esse número representa apenas os incidentes detectados e reportados.
A ampla distribuição indica uma campanha coordenada e em expansão. Os criminosos exploram a popularidade de aplicativos como WhatsApp, TikTok e YouTube para enganar os usuários.
Estratégias de engano
Ao se disfarçar de versões atualizadas ou melhoradas desses serviços, conseguem burlar as defesas básicas. A tática aproveita a confiança que as pessoas depositam nessas marcas consolidadas.
A diversidade de droppers utilizados mostra que os atacantes testam diferentes abordagens. Isso dificulta a criação de assinaturas únicas para detecção.
Proteção e prevenção necessárias
Usuários devem desconfiar de aplicativos que prometem funcionalidades extras para serviços populares. É crucial verificar sempre a origem dos aplicativos, preferindo lojas oficiais como Google Play Store.
Atualizações devem ser feitas exclusivamente através dos canais oficiais dos desenvolvedores. A instalação de aplicativos de fontes desconhecidas deve ser evitada, mesmo que pareçam legítimos.
Medidas de segurança
- Verificar as permissões solicitadas durante a instalação.
- Manter o sistema operacional e aplicativos atualizados com as últimas correções de segurança.
- Utilizar soluções de segurança móvel reconhecidas para uma camada adicional de proteção.