7 coisas que você precisa saber sobre o malware para Android vazados do Hacking Team

Muita coisa aconteceu desde que os arquivos do Hacking Team vazaram online. Além da série de novas vulnerabilidades – a maioria afetando o Flash Player e o Internet Explorer – que foram descobertas, exploradas e corrigidas, códigos fonte das ferramentas da empresa também fizeram parte dos arquivos vazados. Um deles foi uma suíte de malware especialmente sofisticada chamada RCSAndroid (Sistema de Controle Remoto do Android), que foi vendida pela empresa como uma ferramenta para monitorar alvos.

Nossos pesquisadores acreditam que essa ferramenta de espionagem pode ser considerada “um dos malwares mais profissionais e sofisticados desenvolvido para Android já expostos”.

Mas do que a ferramenta de espionagem RCSAndroid realmente é capaz? Quem foi afetado? Quais dispositivos são vulneráveis? Esses são alguns fatos rápidos que você precisa saber sobre a suíte de malware para dispositivos móveis vazada do Hacking Team.

1. Ela pode realizar funções de espionagem, inclusive captura de fotos, usando as câmeras frontal e traseira

Com base no código vazado, nossos pesquisadores descobriram que o aplicativo RCSAndroid pode realizar rotinas invasivas para espiar os alvos pretendidos. Seus recursos incluem monitorar a tela e o clipboard de dispositivos Android, coletar senhas e detalhes de contatos de contas online, e também usar as câmeras e microfones do dispositivo.

2. Todas as versões do Android anteriores ao Lollipop estão vulneráveis

Se o seu dispositivo Android é executado no Froyo, Gingerbread, Ice Cream Sandwich ou Jelly Bean, provavelmente está vulnerável às rotinas de espionagem do RCSAndroid. Nossa pesquisa ainda tem que validar se a ferramenta de espionagem funciona em todos os dispositivos. As versões do Android citadas acima são responsáveis por quase 82% de todos os dispositivos Android.

3. Os agressores usam dois métodos para fazer os alvos baixarem o RCSAndroid

O primeiro método é o envio de uma URL feita especialmente para o alvo, por SMS ou email. O segundo método é o uso de um aplicativo backdoor furtivo, feito para contornar o Google Play.

4. A ferramenta de espionagem verdadeira do Hacking Team custa caro e requer uma Taxa de Manutenção Anual

Supostamente a suíte toda custa 234.000 euros, ou 260.000 dólares, por ano. A ferramenta de espionagem real disponibilizadas pelo Hacking Team custa muito caro, mas o código vazado torna a ferramenta mais acessível para qualquer pessoa usar. O fato do RCSAndroid ser poderoso e prontamente disponível torna tudo mais perigoso. Os cibercriminosos podem mexer no código como quiserem, podendo usar uma série de maneiras para fazer as pessoas o instalarem em seus dispositivos, sem saber o que estão instalando.

5. O RCSAndroid agora pode ser usado facilmente por qualquer desenvolvedor de Android

A suíte de malware móvel pode ser usada por qualquer desenvolvedor de Android com conhecimento técnico. Nossa análise detalhada sobre o malware e como ele entra nos dispositivos para suas atividades de espionagem está detalhada em nossa postagem no blog com o título de “Hacking Team RCSAndroid Spying Tool Listens to Calls; Roots Devices to Get In”.

6. A ferramenta de espionagem é difícil de ser detectada e removida de um dispositivo infectado

Para evitar a detecção e remoção do app agente na memória do dispositivo, a suíte do RCSAndroid também detecta emuladores ou sandboxes. Ele também consegue manipular dados do gerente de pacote do Android para acrescentar e remover permissões e componentes, e também esconder o ícone do aplicativo.

7. Determinadas ações maliciosas são acionadas por um módulo Event Action

Em um dispositivo infectado, o módulo Event Action Trigger dispara ações maliciosas com base em certos eventos. Esses eventos podem ser baseados em um horário, carregamento ou status da bateria, conectividade, execução de aplicativos, status do SIM card, SMS recebido com palavras-chaves e pela ação de ligar a tela.

O Trend Micro™ Mobile Security trabalha contra as rotinas do aplicativo RCSAndroid acima mencionadas. A solução de segurança móvel tem um recurso de verificação em nuvem que fornece aos pesquisadores da Trend Micro mais informações sobre amostras desconhecidas para fortalecer a detecção.

Baixar do Google Play Store minimiza o risco que as lojas de aplicativos de terceiros trazem. Evite fazer “root” de seu dispositivo Android pois isto pode permitir que aplicativos não assinados, inclusive os maliciosos, acessem os dados armazenados. Isso também dificulta a correção e atualização de seu sistema operacional e aplicativos, podendo deixar seu dispositivo vulnerável. Atualizar para a versão de sistema operacional mais recente do Android também é uma boa medida de segurança.