0
0
João Monteiro
Governo iraniano está usando grupos de cibercriminosos para infectar mais de 600 dispositivos e obter informações, como histórico de chamadas e mensagens, localização e outros dados confidenciais, de mais de 1,2 mil vítimas em sete países ao redor do mundo
Os pesquisadores da Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point Software Technologies, revelaram que o governo iraniano continua monitorando e lançando ataques cibernéticos contra dissidentes e pessoas contrárias ao regime, tanto dentro de suas fronteiras como em outros seis países.
Ao contar com a colaboração da SafeBreach, a CPR pôde descobrir como essa nova série de ciberataques contra mais de 1,2 mil vítimas – a maioria dissidentes, forças contrárias ao regime, apoiadores do grupo terrorista ISIS e minorias curdas – ocorreram no Irã, Estados Unidos, Grã-Bretanha, Paquistão, Afeganistão, Turquia e Uzbequistão.
Em 2018, a Check Point já havia divulgado sobre a campanha Domestic Kitten na qual se descobriu que o governo iraniano estava por trás de uma dezena de ciberataques (quatro dos quais ainda estão ativos), cujo propósito era realizar espionagem e vigilância sobre objetivos específicos. Identificou-se também que o grupo de cibercriminosos conhecido como APT-C-50 foi o responsável por esses ataques, capaz de infectar mais de 600 dispositivos, espionar os aparelhos de dissidentes, coletando registros e gravações de ligações, mensagens, fotos, vídeos, dados do GPS e uma lista de aplicativos baixados.
Os pesquisadores da Check Point apontam que os atacantes enganaram as vítimas para fazer o download de um aplicativo aparentemente inofensivo que estava infectado com o malware Domestic Kitten. Para fazer isso, eles usaram vários vetores de ataque, como blogs, canais do Telegram e mensagens de texto (SMS) com um link de download. Além disso, para ganhar a confiança da vítima, os cibercriminosos ocultaram software malicioso em vários aplicativos e serviços aparentemente inofensivos, incluindo:
- VIPRE Mobile Security – Um falso aplicativo de segurança móvel.
- ISIS Amaq – Um veículo de comunicação da agência de notícias Amaq.
- Exotic Flowers – Uma versão reformulada de um jogo do Google Play.
- MyKet – Uma loja de aplicativos para Android.
- Iranian Woman Ninja – Um aplicativo de papéis de parede.
- Aplicativo Mohen Restaurant – Um restaurante em Teerã.
Infy, o herdeiro do Domestic Kitten que espiona pelo computador
Na nova pesquisa, foi identificado um novo grupo de cibercriminosos, conhecido como Infy, que espiona suas vítimas extraindo informações confidenciais de computadores pessoais e corporativos. Entre os arquivos que usaram para atrair a atenção estava uma foto de Mojtaba Biranvand, governador da cidade de Dorud (Irã), que inclui informações sobre seu escritório e seu suposto número de telefone.
Além desse, outro arquivo usado foi uma imagem do logotipo da ISAAR, a Fundação para Assuntos de Mártires e Veteranos patrocinada pelo governo iraniano, que faz empréstimos a veteranos deficientes. O texto de ambos os documentos foi escrito em persa.
Os pesquisadores observaram que tanto Domestic Kitten quanto Infy estão atualmente ativos, embora observem que a operação deste último foi intermitente desde 2007. Da mesma forma, revelaram que o potencial tecnológico do Infy é muito superior ao das demais campanhas iranianas conhecidas até o momento, já que ataca apenas um pequeno grupo de pessoas e possui funcionalidades especiais para evitar ser detectado ou interrompido.
FONTE: IP NEWS