0
0
Pesquisadores descobriram 19 aplicativos móveis carregando malware de enraizamento em lojas de aplicativos Android oficiais e de terceiros, incluindo Google Play e Samsung Galaxy Store.
“Embora raro, enraizar malware é muito perigoso”, explicaram os pesquisadores da Lookout Kristina Balaam e Paul Shunk.
“Ao usar o processo de enraizamento para obter acesso privilegiado ao sistema operacional Android, o ator de ameaças pode silenciosamente conceder a si mesmo permissões perigosas ou instalar malware adicional — etapas que normalmente exigiriam interação do usuário. Privilégios elevados também dão ao malware acesso aos dados confidenciais de outros aplicativos, algo que não é possível em circunstâncias normais.”
Sobre o malware
Apelidado de AbstractEmu, o malware é inserido em aplicativos (funcionais) e tenta explorar uma variedade de vulnerabilidades para fazer root nos dispositivos de destino.
Uma vez alcançado isso, um novo aplicativo chamado “Armazenamento de Configurações” é instalado e recebe as permissões necessárias para acessar contatos, registros de chamadas, mensagens SMS, informações de localização, câmera e microfone. Ele também altera várias configurações que permitem redefinir a senha do dispositivo, instalar outros pacotes (mal-intencionados), desenhar outras janelas, desativar o Google Play Protect e muito mais.
“Se o usuário tentar executar o aplicativo, ele sairá e abrirá o aplicativo de configurações legítimas. O aplicativo em si não contém nenhuma funcionalidade maliciosa, o que dificulta a detecção. Em vez disso, depende inteiramente dos arquivos que seu servidor C2 fornece durante a execução”, observaram os pesquisadores.
“No momento da descoberta, o ator de ameaças por trás da AbstractEmu já havia desativado os endpoints necessários para recuperar essa carga útil adicional do C2, o que nos impediu de aprender o objetivo final dos atacantes.”
No entanto, eles acreditam que o ator de ameaças é um “grupo com recursos financeiros”, já que os aplicativos trojanizados usavam técnicas sofisticadas de evasão e estavam disfarçados de aplicativos utilitários (gerentes de senha ou dinheiro) e ferramentas de sistema (gerentes de arquivos e lançadores de aplicativos) para atingir uma ampla faixa de usuários do Android usando o Google Play, Amazon Appstore e Samsung Galaxy Store e lojas de aplicativos menos conhecidas, como Aptoide e APKPure.
“Os tipos de vulnerabilidades que o AbstractEmu aproveita também apontam para um objetivo de segmentar o maior número possível de usuários, já que vulnerabilidades muito contemporâneas de 2019 e 2020 são aproveitadas”, explicaram.
“Uma das façanhas usou o CVE-2020-0041, uma vulnerabilidade não vista anteriormente explorada na natureza por aplicativos Android. Outra exploração teve como alvo o CVE-2020-0069, uma vulnerabilidade encontrada nos chips MediaTek usados por dezenas de fabricantes de smartphones que venderam coletivamente milhões de dispositivos. Como uma dica para as habilidades técnicas do ator de ameaça, eles também modificaram o código de exploração disponível publicamente para CVE-2019-2215 e CVE-2020-0041, a fim de adicionar suporte a mais alvos.”
Finalmente, as permissões e recursos que o aplicativo “Settings Storage” ganha são aquelas que outras ameaças motivadas financeiramente geralmente aproveitam para interceptar códigos 2FA enviados via SMS, sobrepor telas de phishing nas janelas de aplicativos, capturar conteúdo mostrado na tela do dispositivo, interagir com outros aplicativos e assim por diante.
Prevenção e remediação
Lookout descobriu um total de 19 aplicativos trojanizados relacionados, incluindo um no Google Play que teve mais de 10.000 downloads (desde então foi removido). Seus nomes são Todas as Senhas, Navegador Anti-anúncios, Protetor de Dados, Lite Launcher, Meu Telefone, Night Light e Phone Plus. (Os nomes dos pacotes maliciosos e outros IoCs foram compartilhados.)
Para evitar esses tipos de aplicativos maliciosos, usuários e organizações devem atualizar regularmente os sistemas operacionais móveis com os patches de segurança mais recentes e ter cuidado ao instalar aplicativos desconhecidos.
“Em um cenário ideal, o dispositivo do usuário final teria sido protegido por uma solução de segurança móvel com a eficácia de detecção para poder impedir que o malware infectasse o dispositivo. Mas no caso em que um dispositivo foi enraizado e talvez malware adicional instalado, há apenas algumas opções razoáveis de mitigações”, disse Stephen Banda, Gerente Sênior de Soluções de Segurança da Lookout, à Help Net Security.
“O usuário poderia fazer uma redefinição de fábrica e depois reinstalar o sistema operacional e restaurar os dados no dispositivo a partir de um backup limpo. Embora esse método funcione em muitos casos, não é uma bala de prata e não resolve totalmente o problema. Por exemplo, quando um dispositivo foi infectado com malware persistente, o malware é projetado para se reinstalar automaticamente no dispositivo após uma redefinição de fábrica.
“Então, honestamente, a melhor maneira de resolver o problema se o seu dispositivo tiver sido enraizado é limpar o dispositivo e depois descartá-lo corretamente e obter um novo. Simplesmente não vale o risco. As soluções de gerenciamento de dispositivos móveis também não ajudam muito neste caso, pois não têm capacidade de detecção de ameaças em tempo real e só podem limpar o dispositivo, o que não ajudaria com malware persistente.”
FONTE: HELPNET SECURITY