Malware do Hamas para Android: ataque cibernético visava smartphones de soldados da Força de Defesa de Israel
Pesquisadores da Check Point Research (CPR) analisam e descrevem o malware utilizado para ataques crescentes a dispositivos móveis Android
A Check Point Research (CPR), a divisão de inteligência de ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor global líder em soluções de cibersegurança, descreve os recursos e analisa tecnicamente uma operação cibernética do Hamas (maior organização islâmica nos territórios palestinos da atualidade), apelidada de "Rebound" (Rebote) derrubada pelos órgãos IDF (Força de Defesa de Israel) e a ISA (Agência de Segurança de Israel AKA "Shin Bet") em operação conduzida conjuntamente.
Os pesquisadores da Check Point descrevem também a associação desse ataque ao grupo APT-C-23, sobre o qual eles já relataram em 2018 ao se referirem a ataques anteriores desse grupo no Oriente Médio.
Trata-se de um malware MRAT (Trojan de acesso remoto móvel) disfarçado como um conjunto de aplicativos de namoro, "GrixyApp", "ZatuApp" e "Catch & See", todos com sites dedicados e a descrição do aplicativo de namoro. A vítima recebe um link para baixar o aplicativo malicioso de um operador do Hamas, disfarçando-se de uma mulher. Depois que o aplicativo é instalado e executado, o mesmo mostra uma mensagem de erro informando que o dispositivo não é suportado e o aplicativo se desinstalará. Porém, isso não acontece, pois o aplicativo oculta apenas o ícone:
Enquanto permanece oculto, o aplicativo se comunica com os servidores C&C por meio do protocolo mqtt, com os mesmos servidores dos quais foi baixado. A principal capacidade desse malware é coletar dados sobre a vítima, como número de telefone, local, mensagens SMS e muito mais, além de ter a capacidade de estender seu código por comando. Quando acionado, esse comando recebe uma URL para um arquivo .dex, que o aplicativo baixa e executa.
As táticas, técnicas e procedimentos (TTPs) usados nessa nova onda de ataques são semelhantes àqueles adotados no passado pelas campanhas anteriores do grupo APT-C-23. Primeiramente, este grupo é conhecido por desenvolver backdoors para dispositivos Android disfarçados de aplicativos de bate-papo.
Em segundo lugar, sites especialmente criados e dedicados são elaborados pelo grupo para promover esses backdoors, explicar suas funcionalidades e oferecer um link direto para baixá-los. Esses domínios e outros que são usados para comunicações C&C por amostras conhecidas do APT-C-23, geralmente, são registrados usando o NameCheap, e também foi o caso dos sites recém-descobertos.
Por fim, amostras maliciosas afiliadas ao APT-C-23 fizeram referência a nomes de artistas, personagens de TV e celebridades, tanto em seu código fonte quanto na comunicação da C&C. Embora os novos backdoors não possuíssem essas referências, os pesquisadores da Check Point viram referências a celebridades e figuras conhecidas como Jim Morrison, Eliza Doolittle, Gretchen Bleiler e Dolores Huerta no site do backdoor, catchansee [.] com.
“O sucesso dessas campanhas cibernéticas contra dispositivos móveis Android é resultado de dois fatores principais: a crescente dependência de todos nós por nossos smartphones e aplicativos neles instalados; e a falta de conhecimento da maioria da população mundial sobre como é fácil usar os smartphones como vetores de ataque. Atualmente, todos os malwares conhecidos possuem versões para dispositivos móveis. Nossa pesquisa mostra que apenas 3% das organizações em todo o mundo usam proteção adequada para seus dispositivos móveis, enquanto, em 2019, 27% dos ciberataques foram direcionados a estes dispositivos", comenta Jonathan Shimonovich chefe de pesquisa cibernética móvel da Check Point.
O incidente do último domingo (16 de fevereiro de 2020) demonstra como o Hamas se aproveitou desses fatos. Eles tentaram alcançar os soldados por meio de seus smartphones e aproveitaram o fato de não terem cuidado o suficiente com os seus dispositivos.
Ainda segundo Shimonovich, nos últimos anos, foi observado que o Hamas usa o mesmo tipo de ciberameaça em três ocasiões diferentes, sendo a mais recente nos eventos da Copa do Mundo de 2018. O processo foi o mesmo - usar perfis falsos nas mídias sociais para gerar interações sociais e, em seguida, atrair as vítimas para baixar aplicativos de links enviados por contas falsas de redes sociais. Esses aplicativos sempre são programas que não existem nas lojas oficiais de aplicativos e carregam malwares que permitem os ataques.
Essa campanha de ataque contra os smartphones de soldados da Força de Defesa de Israel serve como um alerta de que o esforço dos desenvolvedores de sistemas ainda não é suficiente para criar um ecossistema Android seguro. Isto requer atenção e ação de desenvolvedores de sistemas, fabricantes de dispositivos, desenvolvedores de aplicativos e de usuários, para que as correções de vulnerabilidades sejam atualizadas, distribuídas, adotadas e instaladas a tempo.
As etapas a seguir são simples e podem tornar os nossos dispositivos móveis mais seguros contra esses tipos de ataques:
- Baixe aplicativos apenas de lojas oficiais de aplicativos - seus protocolos de segurança dificultam a instalação de malwares por atacantes;
- Evite clicar nos links das postagens compartilhadas nas mídias sociais de pessoas que você realmente não conhece e não confia;
- Mantenha sempre seu dispositivo móvel e aplicativos atualizados com a atualização de segurança mais recente;
- Instale aplicativos de segurança em seus aparelhos que impeçam o malware a chegar aos seus dispositivos.
Esse ataque ressalta também o porquê da necessidade de as organizações e os usuários terem uma solução avançada de prevenção de ameaças móveis instalada nos dispositivos para se protegerem contra a possibilidade de instalação de aplicativos maliciosos sem seu conhecimento, mesmo em lojas de aplicativos confiáveis.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. é um fornecedor líder em soluções de cibersegurança para governos e empresas privadas globalmente. As suas soluções protegem os clientes contra ciberataques de 5ª geração (Gen V) com um índice de captura líder de mercado de malware, ransomware e outros tipos de ataques. A Check Point oferece arquitetura de segurança multinível “Infinity” Total Protection com prevenção de ameaças avançadas Gen V, que protege as informações de nuvem, rede e dispositivos móveis corporativos. A Check Point fornece o mais abrangente e intuitivo ponto de controle de sistema de gerenciamento de segurança. A Check Point protege mais de 100.000 organizações de todos os portes.
©2020 Check Point Software Technologies Ltd. Todos os direitos reservados.
Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
https://www.facebook.com/groups/portalnacional/
<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte... www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. - Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>