App de notícias falsas do vazamento do Hacking Team projetado para burlar o Google Play

Recentemente analisamos os dados vazados do Hacking Team e encontramos uma amostra de um aplicativo de notícias falsas que parece ter sido projetado para evitar o filtro do Google Play. Isso aconteceu após a notícia de que os dispositivos iOS estavam em risco de um spyware relacionado ao Hacking Team. O aplicativo de notícias falsas foi baixado até 50 vezes antes de ser removido do Google Play, no dia 7 de julho.

O app “BeNews” é um aplicativo backdoor que usa o nome do site de notícias extinto “BeNews” para parecer legítimo. Encontramos o código fonte do backdoor no vazamento, incluindo um documento que ensina aos clientes como usá-lo. Com base nisso, acreditamos que o Hacking Team fornecia o aplicativo aos clientes para ser usado como uma isca para baixar o malware RCSA para Android no dispositivo alvo.

O backdoor, ANDROIDOS_HTBENEWS.A, pode afetar as versões Android, do Froyo 2.2 até o KitKat4.4.4, mas não se limita só a elas. Ele explora a vulnerabilidade local de escalação de privilégio CVE-2014-3153 nos dispositivos Android. Essa falha foi anteriormente usada pela ferramenta root exploit, TowellRoot para burlar a segurança do dispositivo, deixando-o aberto ao download de malware e permitir acesso para agressores remotos.

Figura 1. Capturas de tela do aplicativo ‘BeNews’ para Android feito pelo Hacking Team

Observando as rotinas do app, acreditamos que o aplicativo pode contornar as restrições do Google Play usando uma tecnologia de carregamento dinâmico. Inicialmente, ele apenas pede três permissões e pode ser considerado seguro para os padrões de segurança do Google, já que nenhum código de exploração é encontrado no aplicativo. Porém a tecnologia de carregamento dinâmico permite que o app baixe e execute um código parcial a partir da Internet. Ele não vai carregar o código enquanto o Google está verificando o aplicativo mas, enviará o código assim que a vítima comece a usá-lo.

Figura 2. Capturas de tela do caminho do código de carregamento dinâmico src/libbson/bson.cpp

O código vazado inclui um “passo-a-passo” e uma conta no Google Play

Também descobrimos o código fonte do backdoor e seu servidor entre os dados do vazamento do Hacking Team. O documento rotulado como “core-android-market-master.zip” traz instruções detalhadas de como os clientes podem manipular o backdoor e também uma conta já pronta no Google Play que eles podem usar.

Figura 3. Documento para manipular as configurações do servidor do BeNews
Figura 4. Documento para gerenciar o backdoor no Google Play

Recomendações

Com a proliferação de esforços similares aos do Hacking Team, os usuários finais precisam ficar alertas às atualizações de segurança. Inclusive no cenário de dispositivos móveis. Para proteger os dispositivos móveis das ameaças que tentam evitar as medidas de segurança do Google Play, a Trend Micro oferece segurança para dispositivos móveis Android através do Mobile Security for Android™. Os usuários também podem adquirir a solução de segurança móvel através do Google Play. Leia mas sobre dicas de segurança para dispositivos móveis no nosso centro de inteligência de ameaças para Segurança Móvel.

Abaixo está a hash SHA1 relacionada à ameaça em questão:

ANDROIDOS_HTBENEWS.A

  • 9a58f0d3ddadc2854a976953d4d4a286ac53e093

Publicado originalmente por  em TrendLabs.