Europa Press/Contacto/Avishek Das - Arquivo
MADRID 13 jul. (Portaltic/EP) -
Um grupo de pesquisadores identificou uma nova variante do “malware” RedHook, que afeta usuários do Android ao se aproveitar da ferramenta Wireless ADB, conseguindo obter privilégios para controlar dispositivos e obter acesso remoto, além de roubar dados como senhas de contas bancárias.
O Wireless ADB (Android Debug Bridge) é a ferramenta de linha de comando do Google que facilita a conexão de dispositivos Android a um computador por meio de uma rede Wi-Fi ou TCP/IP, em vez de usar uma conexão com fio, o que facilita a execução de comandos, a instalação de arquivos APK e a depuração de código remotamente.
Ou seja, ela permite controlar dispositivos Android a partir de um PC, geralmente para depurar aplicativos, realizar controles avançados do sistema, transferir arquivos ou atualizar e realizar tarefas de manutenção do dispositivo.
É justamente essa ferramenta que está sendo utilizada por agentes mal-intencionados, que se aproveitam do Wireless ADB para comprometer dispositivos Android por meio de uma versão modificada do “malware” RedHook.
Essa nova versão foi identificada e analisada pelos pesquisadores de segurança cibernética da empresa Group-IB, que afirmam que “ela ressurgiu com melhorias significativas” e consegue se instalar nos dispositivos simplesmente ao clicar em links enviados por mensagens de texto, e-mails ou qualquer outra rede social.
Para que as possíveis vítimas cliquem no link malicioso, os cibercriminosos se passam por funcionários de suporte ou de organizações reconhecidas, enganando os usuários por meio de uma técnica de engenharia social. Assim, eles os convencem a baixar e instalar um arquivo APK malicioso a partir de sites falsos, sob o pretexto de que essas são etapas necessárias para acessar o serviço ou concluir trâmites oficiais.
Esses sites falsos são projetados para imitar a aparência de lojas de aplicativos como o Google Play. Além disso, os arquivos APK subjacentes ficam hospedados em infraestruturas de acesso público, como o GitHub, para facilitar a distribuição do “malware”.
Depois que o arquivo APK é baixado, os invasores convencem as vítimas a concederem permissões, valendo-se de interfaces que imitam a identidade visual de organizações reais. Eles solicitam que o usuário insira credenciais, informações pessoais e códigos de segurança, tudo por meio de um tutorial guiado, “fazendo-os acreditar que se trata de uma etapa necessária para habilitar todas as funções do aplicativo”.
É por meio dessas permissões concedidas que o “malware” consegue ativar o ADB sem fio do dispositivo Android e acessar as opções de desenvolvedor.
Conforme explicaram, essa nova variante do RedHook continua sendo um trojan de acesso remoto (RAT); portanto, uma vez que o dispositivo é infectado, os agentes mal-intencionados obtêm permissões para transmitir a tela e interceptar pressionamentos de teclas, entre outras ações. Mas essa versão vai além, permitindo uma “evolução sofisticada” em direção ao “abuso de privilégios”, causando desde o roubo de dados até a vigilância ou qualquer outra violação de segurança.
É importante levar em conta que os agentes maliciosos realizam todas essas operações de forma praticamente imperceptível; assim, as vítimas não percebem a instalação do “malware” RedHook nem as ações subsequentes dos agentes maliciosos envolvidos.
Além disso, os pesquisadores também destacaram que essa versão é difícil de ser interrompida uma vez iniciada. Isso se deve ao fato de ela possuir “um mecanismo de ressurreição entre processos e serviços”; assim, quando qualquer um dos processos é encerrado, “o serviço sobrevivente detecta a desconexão e reinicia imediatamente seu companheiro, criando um ciclo que exige que ambos os processos sejam encerrados simultaneamente para ser interrompido”.
Até o momento, o uso do RedHook em dispositivos Android foi associado a aparelhos no Vietnã e na Indonésia. Da mesma forma, os pesquisadores do Group-IB recomendaram baixar aplicativos sempre de fontes oficiais e não clicar em links maliciosos, entre outras medidas de segurança.
Esta notícia foi traduzida por um tradutor automático