Investigadores da Check Point denunciam novo trójan de acesso remoto capaz de controlar dispositivos e aceder a todo o tipo de informação
Investigadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de soluções de cibersegurança a nível global, denunciam vendedor de malware para sistemas Android que, com ajuda de um outro agente malicioso, introduziu na dark net o malware Rogue, um trojan de acesso remoto capaz de controlar os dispositivos, acedendo a todo o tipo de dados, como fotos, localização ou mensagens. As intenções maliciosas do vírus são mascaradas pelo uso da plataforma Firebase da Google, através da qual é controlada e passada a informação roubada. Os ciberatacantes lançaram em conjunto uma linha de produtos maliciosos que correspondiam, na verdade, a um único produto anunciado através de campanhas de marketing bastante distintas.
O vendedor de malware, de nome “Triangulum”, juntou-se, pela primeira vez, à dark net em 2017. O seu produto inicial foi um trojan móvel de acesso remoto (RAT), capaz de extrair dados de servidores C&C e destruir dados – podendo até apagar sistemas operativos inteiros. Quatro meses depois, o Triangulum colocou o seu primeiro malware para Android à venda. Depois de um período de um ano e meio sem apresentar sinais de atividade na dark net, a 6 de abril de 2019 o Triangulum é de novo identificado, com a estreia de um novo produto para venda. Depois deste período, o Triangulum tem estado muito ativo, anunciando uma série de produtos para os próximos 6 meses. Os investigadores especulam que o período de inatividade do ciberatacante foi utilizado para a criação de uma linha de produtos de distribuição de malware altamente funcionais.
Produtos para venda
Parceiro de crime
Investigações mais recentes revelam que o Triangulum estava a colaborar com outro agente malicioso, o “HexaGoN Dev”, especialista no desenvolvimento de malware para sistemas operativos Android, particularmente RATs. De acordo com os investigadores, o papel do segundo interveniente estava ligado ao marketing dos produtos maliciosos. A alegada linha de produtos correspondia, na verdade, a um único produto anunciado por meio de campanhas de marketing bastante diferentes. A combinação de forças entre estes dois ciberatacantes, Triangulum e HexaGoN Dev, representa uma ameaça legítima, visto que juntos foram capazes de criar e distribuir múltiplas variantes de malware para Android, incluindo crytominers, keyloggers e trojans móveis de acesso remoto sofisticados (como o P2P, Phone to Phone).
Malware Rogue: “Têm a certeza que pretende apagar todos os seus dados?”
Os ciberatacantes Triangulum e HexaGoN Dev colaboraram no sentido de criar e introduzir na dark net o malware Rogue. O Rogue integra a família de trojans móveis de acesso remoto (MRAT), sendo capaz de controlar o dispositivo hóspede e extrair qualquer tipo de dados, como fotos, localização, contactos e mensagens, podendo ainda modificar os ficheiros de um dispositivo Android e fazer download de payloads maliciosos adicionais. Assim que o Rogue obtém as permissões necessárias de um dispositivo, esconde a sua presença, sendo muito difícil de identificar.
O malware regista-se, depois, enquanto dispositivo administrador. No caso de o utilizador tentar revogar a permissão do administrador, aparecerá a seguinte mensagem: “têm a certeza que pretende apagar todos os seus dados?”. O Rogue adota os serviços de uma plataforma Firebase, um serviço da Google, para disfarçar as suas intenções maliciosas e mascarar-se enquanto serviço legítimo. Além disso, recorre aos serviços do Firebase enquanto servidor C&C (comando e controlo), de forma a que todos os comandos que controlam o malware e todas as informações roubadas pelo mesmo sejam entregues utilizando a infraestrutura da plataforma.
“Os vendedores de malware móvel estão a tornar-se cada vez mais engenhosos na dark net. A nossa investigação dá-nos apenas uma pequena amostra da loucura que é a dark net: como evolui o malware e quão difícil é atualmente de rastrear, classificar e de nos protegermos de forma eficaz. Além disso, existe uma correlação entre este mercado underground ‘louco’ e o mundo real” afirma Yaniv Balmas, Head of Cyber Research da Check Point. “É muito fácil retorcer as coisas e criar ‘produtos falsos’, o que cria, naturalmente, muito barulho, e o problema é que pode confundir os fornecedores de segurança. Enquanto temos formas de detetar este tipo de coisas no mundo real, no mercado underground as coisas ainda são um pouco selvagens num certo sentido, o que faz com que seja difícil entender o que é uma ameaça real e o que não é”, termina Balmas.
Como proteger o seu dispositivo de malware móveis
Investigações mais recentes revelam que o Triangulum estava a colaborar com outro agente malicioso, o “HexaGoN Dev”, especialista no desenvolvimento de malware para sistemas operativos Android, particularmente RATs. De acordo com os investigadores, o papel do segundo interveniente estava ligado ao marketing dos produtos maliciosos. A alegada linha de produtos correspondia, na verdade, a um único produto anunciado por meio de campanhas de marketing bastante diferentes. A combinação de forças entre estes dois ciberatacantes, Triangulum e HexaGoN Dev, representa uma ameaça legítima, visto que juntos foram capazes de criar e distribuir múltiplas variantes de malware para Android, incluindo crytominers, keyloggers e trojans móveis de acesso remoto sofisticados (como o P2P, Phone to Phone).
Malware Rogue: “Têm a certeza que pretende apagar todos os seus dados?”
Os ciberatacantes Triangulum e HexaGoN Dev colaboraram no sentido de criar e introduzir na dark net o malware Rogue. O Rogue integra a família de trojans móveis de acesso remoto (MRAT), sendo capaz de controlar o dispositivo hóspede e extrair qualquer tipo de dados, como fotos, localização, contactos e mensagens, podendo ainda modificar os ficheiros de um dispositivo Android e fazer download de payloads maliciosos adicionais. Assim que o Rogue obtém as permissões necessárias de um dispositivo, esconde a sua presença, sendo muito difícil de identificar.
O malware regista-se, depois, enquanto dispositivo administrador. No caso de o utilizador tentar revogar a permissão do administrador, aparecerá a seguinte mensagem: “têm a certeza que pretende apagar todos os seus dados?”. O Rogue adota os serviços de uma plataforma Firebase, um serviço da Google, para disfarçar as suas intenções maliciosas e mascarar-se enquanto serviço legítimo. Além disso, recorre aos serviços do Firebase enquanto servidor C&C (comando e controlo), de forma a que todos os comandos que controlam o malware e todas as informações roubadas pelo mesmo sejam entregues utilizando a infraestrutura da plataforma.
“Os vendedores de malware móvel estão a tornar-se cada vez mais engenhosos na dark net. A nossa investigação dá-nos apenas uma pequena amostra da loucura que é a dark net: como evolui o malware e quão difícil é atualmente de rastrear, classificar e de nos protegermos de forma eficaz. Além disso, existe uma correlação entre este mercado underground ‘louco’ e o mundo real” afirma Yaniv Balmas, Head of Cyber Research da Check Point. “É muito fácil retorcer as coisas e criar ‘produtos falsos’, o que cria, naturalmente, muito barulho, e o problema é que pode confundir os fornecedores de segurança. Enquanto temos formas de detetar este tipo de coisas no mundo real, no mercado underground as coisas ainda são um pouco selvagens num certo sentido, o que faz com que seja difícil entender o que é uma ameaça real e o que não é”, termina Balmas.
Como proteger o seu dispositivo de malware móveis
- Atualize o seu sistema operativo. Dispositivos móveis devem estar sempre atualizados com a mais recente versão do sistema operativo de forma a estarem protegidos contra a exploração de vulnerabilidades.
- Instale apenas aplicações provindas de fornecedores oficiais. Instalar aplicações provindas apenas de fornecedores oficiais reduz a probabilidade de adquirir para o seu dispositivo malware ou aplicações maliciosas.
- Ative o recurso de “limpeza remota” em todos os dispositivos móveis. Todos os dispositivos devem ter esta funcionalidade ativa de forma a minimizar a probabilidade de perda de informações sensíveis.
- Não confie em redes Wi-Fi públicas. Redes Wi-Fi públicas podem ser a porta de entrada de um atacante para o seu dispositivo, facilitando ataques como o Man-in-the-Middle (MitM) e outros. Limitar dispositivos móveis a redes Wi-Fi ou redes móveis confiáveis reduz a exposição do seu dispositivo a ciberameaças.
Post A Comment:
0 comments: