Logo
Imprimir esta página

Cibercriminoso se une a "comerciante" da darknet para impulsionar nova campanha de malware em Android

Os pesquisadores da Check Point Research (CPR) denunciam novo trojan de acesso remoto capaz de controlar dispositivos e acessar todo o tipo de informação

A Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point® Software Technologies Ltd . (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, denuncia um vendedor de malware para sistemas Android que, com ajuda de um outro cibercriminoso, introduziu na darknet o malware Rogue, um trojan de acesso remoto capaz de controlar os dispositivos, acessar todo o tipo de dados, como fotos, localização ou mensagens. As intenções maliciosas do malware são disfarçadas pelo uso da plataforma Firebase do Google, por meio da qual é controlada e passada a informação roubada. Os ciberatacantes lançaram em conjunto uma linha de produtos maliciosos que correspondiam, na verdade, a um único produto anunciado em campanhas de marketing bastante distintas.

O vendedor de malware, conhecido pelo nome "Triangulum", uniu-se pela primeira vez à darknet em 2017. O seu produto inicial foi um trojan móvel de acesso remoto (RAT), capaz de extrair dados de servidores C&C (comando e controle) e destruir dados, podendo até apagar sistemas operacionais por completo. Após quatro meses, o "Triangulum" colocou o seu primeiro malware para Android à venda. Depois de um período de um ano e meio sem apresentar sinais de atividade na darknet, em 6 de abril de 2019 o "Triangulum" foi novamente identificado, com a estreia de um novo produto para venda. Passado mais um tempo, ele tem estado muito ativo, anunciando uma série de produtos para os próximos seis meses. Os pesquisadores da Check Point supõem que o período de inatividade do cibercriminoso foi utilizado para a criação de uma linha de produtos de distribuição de malware altamente funcionais.

Produtos para venda e descrição

Cosmos

O produto inicial vendido pelo "Triangulum". Este malware permite a leitura e escrita de SMS, registros de chamadas e de teclas, bem como capturas de tela.

DarkShades

O produto sucessor do Cosmos. Contém todas as suas funcionalidades, com o acréscimo de permitir a gravação de áudio e a captura de fotografias com a câmera do dispositivo.

Rogue

O mais recente malware vendido pelo "Triangulum". Contém todas as funcionalidades do DarkShades, e outras mais, como o envio de falsas notificações, permitindo ainda o registro como aplicação de SMS padrão e como administrador do dispositivo.

Parceiros de crime

As investigações mais recentes revelam que o "Triangulum" estava colaborando com outro agente malicioso, o "HexaGoN Dev", especialista no desenvolvimento de malware para sistemas operacionais Android, particularmente do tipo RATs. De acordo com os pesquisadores, o papel do segundo participante estava ligado ao marketing dos produtos maliciosos. A alegada linha correspondia, na verdade, a um único produto anunciado por meio de campanhas de marketing bastante diferentes. A combinação de forças entre estes dois cibercriminosos, "Triangulum" e "HexaGoN Dev", representa uma ameaça legítima, visto que, juntos, foram capazes de criar e distribuir múltiplas variantes de malware para Android, incluindo criptomineradores, keyloggers e trojans móveis de acesso remoto sofisticados (como o P2P, Phone to Phone).

"Tem certeza de que pretende apagar todos os seus dados?"

Os cibercriminosos "Triangulum" e "HexaGoN Dev" colaboraram no sentido de criar e introduzir na darknet o malware Rogue. O Rogue integra a família de trojans móveis de acesso remoto (MRAT), sendo capaz de controlar o dispositivo hóspede e extrair qualquer tipo de dados, como fotos, localização, contatos e mensagens, podendo ainda modificar os arquivos de um dispositivo Android e baixar os payloads maliciosos adicionais. Assim que o Rogue obtém as permissões necessárias de um dispositivo, oculta a sua presença, sendo muito difícil de identificar.

O malware regista-se, depois, enquanto dispositivo administrador. No caso de o usuário tentar cancelar a permissão do administrador, aparecerá a seguinte mensagem: "tem certeza de que pretende apagar todos os seus dados?". O Rogue adota os serviços de uma plataforma Firebase, um serviço do Google, para disfarçar as suas intenções maliciosas e mascarar-se enquanto serviço legítimo. Além disso, recorre aos serviços do Firebase como servidor C&C, de forma que todos os comandos que controlam o malware e todas as informações roubadas pelo mesmo sejam entregues utilizando a infraestrutura da plataforma.

"Os vendedores de malware móvel estão se tornando muito mais engenhosos na darknet. Nossa pesquisa nos dá uma pequena amostra da loucura que é a darknet: como o malware evolui e como é difícil rastrear, classificar e proteger contra eles de maneira eficaz. Além disso, há uma correlação entre este mercado underground arriscado e o mundo real, afirma Yaniv Balmas, chefe de pesquisa cibernética da Check Point Software Technologies. "É muito fácil distorcer as coisas e criar ‘produtos falsos’. Isso, naturalmente, cria muito ruído e o problema é que pode confundir os fornecedores de segurança. Embora tenhamos maneiras de detectar essas ameaças no mundo real, o mercado underground ainda é como um ‘local selvagem’ em certo sentido, o que torna muito difícil entender o que é uma ameaça real e o que não é", conclui Balmas.

Dicas de proteção de dispositivos contra malware móveis

• Atualizar o sistema operacional. Dispositivos móveis devem estar sempre atualizados com a mais recente versão do sistema operacional de forma a estarem protegidos contra a exploração de vulnerabilidades.

• Instalar apenas aplicações provenientes de fornecedores oficiais. Sempre instalar aplicações originárias de fornecedores oficiais, o que reduz a probabilidade de adquirir malware ou aplicativos maliciosas no dispositivo.

• Ativar o recurso de "limpeza remota" em todos os dispositivos móveis. Todos os dispositivos devem ter esta funcionalidade ativa de forma a minimizar a probabilidade de perda de informações sensíveis.

• Não confiar em redes Wi-Fi públicas. Redes Wi-Fi públicas podem ser a porta de entrada de um atacante para o dispositivo, facilitando ataques como o Man-in-the-Middle (MitM) e outros. Limitar dispositivos móveis a redes Wi-Fi ou redes móveis confiáveis reduz a exposição do dispositivo a ciberameaças.

Sobre a Check Point Research

A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções. A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.

Sobre a Check Point Software Technologies Ltd.

A Check Point Software Technologies Ltd. (https://www.checkpoint.com/pt/) é um fornecedor líder em soluções de cibersegurança para governos e empresas privadas globalmente. As suas soluções protegem os clientes contra ciberataques de 5ª geração (Gen V) com um índice de captura líder de mercado de malware, ransomware e outros tipos de ataques. A Check Point oferece arquitetura de segurança multinível "Infinity" Total Protection com prevenção de ameaças avançadas Gen V, que protege as informações de nuvem, rede e dispositivos móveis corporativos. A Check Point fornece o mais abrangente e intuitivo ponto de controle de sistema de gerenciamento de segurança. A Check Point protege mais de 100.000 organizações de todos os portes.

©2021 Check Point Software Technologies Ltd. Todos os direitos reservados.


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

Copyright Clipping ©2002-2024 - SEGS Portal Nacional de Seguros, Saúde, Veículos, Informática, Info, Ti, Educação, Eventos, Agronegócio, Economia, Turismo, Viagens, Vagas, Agro e Entretenimento. - Todos os direitos reservados.- www.SEGS.com.br - IMPORTANTE:: Antes de Usar o Segs, Leia Todos os Termos de Uso.
SEGS é compatível com Browsers Google Chrome, Firefox, Opera, Psafe, Safari, Edge, Internet Explorer 11 - (At: Não use Internet Explorer 10 ou anteriores, além de não ter segurança em seu PC, o SEGS é incompatível)
Por Maior Velocidade e Mais Segurança, ABRA - AQUI E ATUALIZE o seu NAVEGADOR(Browser) é Gratuíto