PhoneSpy Malware
Uma campanha de espionagem ativa, dirigida aos usuários sul-coreanos foi identificada pelos especialistas em segurança. De acordo com suas descobertas, os atacantes pretendem comprometer os dispositivos Android dos usuários, infectando-os com a ameaça de malware PhoneSpy - um RAT (Trojan de acesso remoto) avançado capaz de realizar inúmeras ações intrusivas nos dispositivos violados. Parece que o principal objetivo dos hackers é coletar grandes quantidades de dados pessoais ou corporativos confidenciais de suas vítimas.
Até agora, os especialistas em segurança cibernética descobriram 23 aplicativos diferentes como arma que carregam a ameaça. Deve-se notar que nenhum desses aplicativos conseguiu violar a loja oficial do Google Play e, como tal, estão sendo disseminados principalmente por meio de plataformas de aplicativos de terceiros. Acredita-se que o vetor inicial de comprometimento sejam os links de phishing distribuídos entre os usuários-alvo. Os aplicativos escolhidos fingem ser ferramentas úteis que oferecem mensagens, gerenciamento de fotos, instruções de ioga, streaming de conteúdo e muito mais.
Funções ameaçadoras
PhoneSpy pode não estar entre os RATs mais sofisticados que existem, mas suas capacidades não devem ser subestimadas. Depois que os usuários fizerem o download e executarem o arquivo APK de um dos aplicativos falsos, ele acionará a implantação do PhoneSpy em seus dispositivos. A primeira ação realizada pela ameaça é exibir uma página de phishing projetada para parecer que vem de um serviço legítimo, como o aplicativo de mensagens Kakao Talklicação A página falsa tentará convencer o usuário a conceder a ela várias permissões de dispositivo.
O PhoneSpy estabelecerá suas rotinas de vigilância e começará a coletar informações privadas do dispositivo. O RAT pode rastrear a localização do usuário através do GPS do dispositivo, tirar imagens, gravar áudio ou vídeo sequestrando o microfone e a câmera do dispositivo, interceptar mensagens SMS recebidas, estabelecer encaminhamento de chamadas, coletar registros de chamadas e listas de contatos e até mesmo enviar mensagens arbitrárias de o dispositivo usando a conta e as credenciais da vítima. A grande quantidade de dados coletados será transmitida aos servidores de Comando e Controle (C2, C&C) dos invasores.
Para permanecer oculto no dispositivo, o PhoneSpy emprega técnicas de ofuscação para seu código. Também removerá o ícone do aplicativo falso da tela do telefone, uma ação de ocultação comum observada nessas ameaças RAT. O PhoneSpy pode até tentar se livrar das soluções de segurança móvel presentes no dispositivo, tentando desinstalá-las.
