'System Update' Android Malware

Os usuários do Android estão sob a ameaça de um novo malware sofisticado para o Android que se apresenta como um aplicativo de 'atualização do sistema'. A ameaça foi descoberta pelos pesquisadores de Infosec recentemente. De acordo com suas descobertas, o malware 'System Update' exibe uma ampla gama de funcionalidades ameaçadoras com alguns recursos raramente vistos, infraestrutura de Comando e Controle (C2, C&C) bem estabelecida com diferentes servidores para comunicação de entrada e saída, bem como técnicas de detecção-evitação.

Se for capaz de se infiltrar no dispositivo do usuário, o malware 'System Update' atua como um RAT (Trojan de Acesso Remoto) com eficácia, que pode coletar e exfiltrar dados, executar comandos de entrada e assumir o controle de certas funções do dispositivo infectado. Deve-se observar que a ameaça não foi capaz de violar a loja oficial do Google Play e, em vez disso, se espalhou por meio de plataformas de aplicativos de terceiros.

Um Amplo Conjunto de Funções Sofisticadas

O malware 'System Update' exibe uma infinidade de recursos ameaçadores que permitem que os invasores realizem várias ações nefastas no dispositivo Android comprometido. Depois de estabelecida, a ameaça inicia a comunicação com um servidor Firebase C&C. Durante a troca inicial, vários dados sobre o dispositivo infectado são enviados, incluindo - se o WhatsApp está presente no sistema, carga da bateria, estatísticas de armazenamento e tipo de conexão com a Internet. As informações junto com um token recebido do serviço de mensagens Firebase são usadas para registrar o dispositivo com o C&C. A ameaça de malware usa o Firebase C&C apenas para receber comandos de entrada, enquanto todos os dados exfiltrados são entregues a um servidor C&C diferente por meio de solicitações POST.

Os comandos específicos recebidos pela ameaça acionam diferentes funcionalidades. O malware 'System Update' pode acessar o microfone e começar a gravar áudio ou gravar conversas telefônicas. Os dados coletados serão salvos como um arquivo ZIP antes de serem carregados para o servidor C&C. A ameaça atormenta o usuário com solicitações para habilitar os Serviços de Acessibilidade repetidamente e, se for bem-sucedido, tentará extrair detalhes da conversa e da mensagem da tela do WhatsApp.

O spyware estabelece inúmeros ouvintes, observa e difunde intenções que acionam ações ameaçadoras específicas, como coleta de dados da área de transferência, espionagem de SMS, contatos, registros de chamadas, notificações, localização GPS, etc. Os arquivos armazenados no dispositivo comprometido serão verificados e qualquer com tamanho inferior a 30 MB e considerado valioso, como extensões .pdf, .docx, .doc, .xlsx, .xls, .pptx e .ppt serão copiadas e, em seguida, exfiltradas para o servidor C&C. Outros dados privados do usuário, como favoritos e histórico de pesquisa, também serão extraídos de navegadores da Web populares, como o Samsung Internet Browser, Google Chrome e Mozilla Firefox.

O spyware está extremamente consciente de que os dados que coleta são os mais atuais possíveis. Ele captura os dados de localização do GPS ou da rede e os atualiza a cada 5 minutos. A mesma técnica também é usada para quaisquer fotos tiradas com a câmera do aparelho, com apenas o intervalo sendo aumentado para 40 minutos.

Várias Técnicas Escondem as Atividades Anormais

Além dos seus extensos recursos de RAT e spyware, o malware 'System Update' também foi equipado com várias técnicas projetadas para mantê-lo escondido de qualquer olhar curioso. Os mais básicos incluem bloquear o ícone do aplicativo ameaçador de ser exibido corretamente na guia da gaveta ou no menu do dispositivo infectado. Todos os arquivos contendo as informações coletadas são excluídos imediatamente após o recebimento de uma resposta bem-sucedida do servidor remoto para o qual os dados estão sendo exfiltrados. Ao coletar arquivos armazenados em armazenamentos externos que incluem várias imagens de vídeos, o spyware se concentra em coletar as miniaturas apropriadas. Este método permite que a atividade ameaçadora permaneça despercebida relativamente quando comparada à alternativa de criar uma trilha de largura de banda anormal maciça, especialmente.

Se o malware 'System Update' receber um comando do servidor Firebase C&C enquanto a tela do dispositivo comprometido estiver desligada, ele gerará uma notificação falsa para enganar o usuário. A notificação finge ter sido gerada pelo sistema operacional do dispositivo exibindo uma mensagem falsa 'Procurando por Atualizações'.