Trojan Android rouba dados do Facebook Messenger, Skype, outros clientes de mensagens instantâneas
DARKNET BRASIL
Pesquisadores de segurança descobriram uma nova cepa de malware do Android que foi projetada para roubar dados de clientes móveis de mensagens instantâneas.
Este novo trojan é bastante simples em seu design, disse o pesquisador da firma de segurança cibernética Trustlook em um relatório publicado na segunda-feira.
Trojan tem apenas um punhado de recursos
O trojan tem apenas algumas habilidades. A primeira é obter a persistência da inicialização descompactando o código dos recursos de um aplicativo infectado. O código tentará modificar o arquivo "/system/etc/install-recovery.sh", que, se bem-sucedido, permitirá que o malware seja executado a cada inicialização.
Segundo, o malware pode extrair dados dos seguintes clientes de IM do Android, dados que serão posteriormente enviados para um servidor remoto. O malware recupera o IP desse servidor de um arquivo de configuração local.
Facebook Messenger
Skype
Telegrama
Viber
Line
Coco
BeeTalk
Momo
Voxer Walkie Talkie Mensageiro
Gruveo Mágica Chamada
TalkBox Voice Messenger
Os pesquisadores detectaram o malware dentro de um aplicativo chinês chamado Cloud Module (em chinês), com o nome de pacote com.android.boxa.
Recursos simples, mas técnicas avançadas de evasão
Pesquisadores da Trustlook dizem que, apesar do foco singular em roubar dados de mensagens instantâneas, o malware usa algumas técnicas avançadas de evasão. Por exemplo, o malware usa técnicas de detecção de anti-emuladores e depuradores para evitar análises dinâmicas e também oculta strings dentro de seu código-fonte para impedir tentativas de reversão de código indevido.
É estranho que o malware para Android tenha apenas uma funcionalidade única, que é extrair e exfiltrar dados de mensagens instantâneas. Uma teoria para essa escolha de design seria que os invasores estivessem coletando conversas privadas, imagens e vídeos, na tentativa de identificar dados confidenciais que eles poderiam, mais tarde, alavancar em tentativas de extorsão, especialmente contra vítimas de alto perfil.
Os pesquisadores não compartilharam nenhuma informação sobre os métodos de distribuição do malware, mas levando em conta que o malware tem um nome chinês e que não há Play Store na China, os autores do malware podem distribuir o aplicativo malicioso por meio de lojas e links de terceiros no Android Fóruns de aplicativos.
Fonte: BleepingComputer