Os Pesquisadores do Google Descobriram Outra Família de Spywares Direcionada aos Dispositivos Android
A equipe de segurança do Google descobriu uma nova forma de malware para Android capaz de roubar dados confidenciais e espionar os usuários do sistema operacional móvel. Em um post publicado nesta semana, os pesquisadores abrangem uma nova família backdoor chamada Tizi - um aplicativo potencialmente prejudicial (PHA), criado para uma finalidade específica e visando um número limitado de usuários. No decorrer das investigações, os especialistas detectaram muitos aplicativos na Google Play Store que foram infectados com Tizi e descobriram que as vítimas dessa nova infecção estavam localizadas na África, mais precisamente na Nigéria, Quênia e Tanzânia. Embora amostras de malware semelhantes tenham sido detectadas anteriormente também, os pesquisadores não as classificaram como uma família, pois naquele momento o malware não tinha capacidade de enraizamento e ofuscação. No entanto, ao realizar uma varredura de dispositivo em setembro deste ano, a ferramenta de segurança integrada Google Play Protect detectou um aplicativo capaz de se enraizarem nos dispositivos explorando vulnerabilidades antigas no Android.
O aplicativo mal-intencionado foi identificado como um backdoor com recursos que permitiam a instalação de spywares em dispositivos e roubavam dados confidenciais de usuários de aplicativos de mídia social.
Os pesquisadores descobriram mais aplicativos infectados com esse malware e os combinaram na família Tizi. O autor do spyware Tizi também tinha um site e, além disso, usou as mídias sociais para incentivar os usuários a instalar mais aplicativos infectados da Loja Virtual do Google Play ou de fontes de terceiros.
Após fazer o root do dispositivo infectado, o Tizi entra em contato com os servidores de comando e controle enviando as coordenadas GPS específicas do dispositivo por meio de um SMS. A comunicação a seguir com o servidor C&C passa por HTTPS regular, mas às vezes o malware também usa o protocolo de mensagens MQTT. Os recursos do Tizi incluem enviar e receber mensagens SMS, gravar chamadas do Viber, Skype e WhatsApp, além de gravar áudio e tirar fotos sem aviso prévio ao usuário. O malware também possui recursos que permitem acessar contatos, registros de chamadas, fotos, eventos do calendário, chaves de criptografia Wi-Fi e outros dados confidenciais.
Felizmente, essa nova família de malware explora bugs de segurança encontrados em versões e dispositivos mais antigos do Android. Todos os dispositivos atualizados para um nível de patch de abril de 2016 ou posterior devem estar protegidos contra esse tipo de ataque. No entanto, os pesquisadores alertam que o Tizi ainda pode prejudicar os usuários de dispositivos atualizados porque, mesmo que todas as vulnerabilidades exploradas tenham sido corrigidas, o malware ainda pode tentar executar algumas de suas ações maliciosas, como ler e enviar mensagens, gravar e redirecionar chamadas telefônicas. Isso ocorre devido ao alto nível de permissões que o aplicativo infectado exige na instalação.
O Google já atualizou o Google Play Protect para desativar todos os aplicativos infectados pelo Tizi, enquanto os usuários dos dispositivos afetados foram notificados. A equipe de segurança do Google também usou as informações e os sinais dos aplicativos Tizi para melhorar a cobertura dos serviços de segurança no dispositivo da empresa, para que agora o filtro integrado do Google Play seja melhor na detecção de PHAs semelhantes.