Os pesquisadores de segurança cibernética da ESET descobriram um pequeno número de aplicativos Android maliciosos que espionam pessoas e roubam informações confidenciais de seus dispositivos móveis.
Em um comunicado de imprensa compartilhado com o TechRadar Pro no início desta semana, os pesquisadores disseram que um novo grupo de atores de ameaças que apelidaram de “Invasores Virtuais” está ativo desde o final de 2021.
Eles criaram uma série de aplicativos Android disfarçados de produtos de telecomunicações, que também incluíam malware XploitSPY de código aberto. Eles chamaram esta campanha de “Visita eXotic”.
Baixo número de downloads
Superficialmente, o aplicativo funcionou conforme planejado, fornecendo serviços básicos de comunicação. Mas por trás da cortina, listas de contatos e arquivos de pessoas, localização GPS do dispositivo, nomes de arquivos listados em determinados diretórios relacionados a câmeras, downloads e vários aplicativos de mensagens como Telegram e WhatsApp. Há malware oculto para extrair. Diz-se que se alguns nomes de arquivos forem promissores, um invasor também poderá extraí-los.
Para construir esse malware, os invasores parecem ter adquirido e modificado o Trojan de acesso remoto (RAT) de código aberto para Android, XploitSPY. Esses aplicativos ofereciam serviços rudimentares, mas também vinham com muitos recursos falsos. Ao longo dos anos, os invasores adicionaram novos recursos, como melhores técnicas de ofuscação e detectores de emulador.
A ESET afirma que existem mais de uma dúzia de aplicativos, sendo os três maiores chamados Dink Messenger, Sim Info e Defcom. Todos foram distribuídos por meio de sites independentes e do Google Play, mas desde então foram removidos do repositório de aplicativos do Google.
Ainda assim, as chances de ser infectado por um deles são relativamente baixas. Aparentemente, os atacantes tinham como alvo apenas indivíduos no Paquistão e na Índia, e o conteúdo do ataque foi muito específico. Foram ao todo aproximadamente 380 downloads do site e da Play Store. Cada aplicativo pode ter até 45 downloads. O método de distribuição não foi discutido, mas provavelmente foi phishing e engenharia social.
