Hacking Team: A Conexão Android

No turbilhão de notícias sobre os ataques do Hacking Team e a subsequente enxurrada de vulnerabilidades, afetando principalmente o Adobe, houve uma informação crítica para os usuários do Android que muitos deixaram passar.

Entre os truques e ferramentas que descobrimos que o Hacking Team tinha a sua disposição estava um malware para Android particularmente desagradável conhecido como RCSAndroid ou Remote Control System Android (Sistema de Controle Remoto do Android).

Esse malware, em particular, foi vendido pela empresa como uma ferramenta para monitorar os alvos. Diferente de outros malware, esse malware foi projetado para ser instalado em um telefone e nunca ser descoberto. Ele fornece a quem quer que o instale, um controle completo e quase invisível do celular Android.

Ao contrário de outros malware para PCs ou Androids, esse malware em particular é otimizado para ser uma verdadeira ferramenta de espionagem. Entre outras coisas que ele faz quando instalado é capturar informações sobre o que estava na tela do dispositivo Android, coletando mensagens de texto e SMS, email, e tirar fotos. Esse malware é até mesmo otimizado para grampear conversas telefônicas e ligar o microfone incorporado para gravar as conversas.

Claro que esse malware também foi projetado para permanecer escondido depois de instalado.

E ele se instala sozinho, usando uma combinação completa e eficaz de explorações e ataques contra o dispositivo Android. Ele tenta todos os meios possíveis para entrar no dispositivo até encontrar um que funcione.

Acontece que essa ameaça já está por aí desde 2012, mas em julho ela tomou um rumo importante por duas razões:

Primeiro, com a divulgação de documentos roubados dos ataques do Hacking Team, pesquisadores, como os nossos, puderam dissecar o malware e entendê-lo melhor. Segundo, graças a essa nova compreensão, nossos pesquisadores puderam confirmar que uma das maneiras que o malware podia ser entregue era por meio de aplicativos aparentemente legítimos baixados do Google Play. Embora o malware em si não estivesse no Google Play, outros aplicativos que podiam ativar sua instalação mais tarde, estavam. O Google resolveu a situação e nenhum dos aplicativos ativadores estão mais disponíveis no Google Play.

Das ameaças para o Android, essa foi uma das mais perniciosas e sofisticadas que já vimos. O que não é de surpreender, já que foi projetada para ser vendida para organizações de inteligência privadas e de estados nação.

Embora a maioria de nós provavelmente não será alvo de malware de espionagem sofisticados como esse, agora que as ferramentas e truques por trás desse malware estão disponíveis para todos, podemos esperar vê-lo sendo usado mais amplamente por outros criadores de malware. E o fato desse malware poder ser instalado por aplicativos que estavam no Google Play também salienta como a situação no Android pode ser perigosa. Afinal, observamos como os malware para Android passaram de 5 milhões em março de 2015.

Se você utiliza o Android, esse é outro lembrete de que usar segurança no Android deve ser natural como usar nos PCs Windows. E nossa pesquisa mostrou que nosso próprio aplicativo Trend Micro Mobile Security & Antivirus para Android seria eficaz para impedir que o RCSAndroid fosse instalado com sucesso em dispositivos Android.

Se você está preocupado com essa ameaça mas não está usando o Trend Micro Mobile Security & Antivirus atualmente, você pode seguir adiante e baixá-lo e realizar uma verificação manual em busca de vírus e também uma verificação manual de privacidade.

Figuras 1-3. Realizando uma Verificação Manual de Vírus. Figuras 4-6. Realizando uma Verificação Manual de Privacidade.

Infelizmente, essa não será a última ameça desse tipo. O recente susto com o “Stagefright” também mostrou que malware e vulnerabilidades para o Android estão ficando mais frequentes, comuns e perigosos. Portanto, se você ainda não esta utilizando segurança em seu dispositivo Android, essa é uma boa hora para mudar e se proteger melhor daqui para frente.