Uma ferramenta de espionagem móvel nunca antes divulgada, um trojan de acesso remoto (RAT) para Android chamado Monokle, foi descoberta usando novas técnicas para exfiltrar dados.
De acordo com os pesquisadores da Lookout, que descobriram o Monokle em estado selvagem, o malware tem a capacidade de auto-assinar certificados confiáveis para interceptar o tráfego SSL criptografado. Ele também pode registrar a atividade de bloqueio de tela de um telefone para obter senhas e pode aproveitar os serviços de acessibilidade para obter acesso a aplicativos de terceiros.
“Embora a maior parte de sua funcionalidade seja típica de um dispositivo de vigilância móvel, o Monokle é único, pois utiliza métodos existentes de maneiras inovadoras para ser extremamente eficaz na extração de dados, mesmo sem acesso root”, de acordo com um relatório divulgado na quarta-feira. “Entre outras coisas, a Monokle faz uso extensivo dos serviços de acessibilidade do Android para exfiltrar dados de aplicativos de terceiros e usa dicionários de texto preditivo para ter uma noção dos tópicos de interesse de um alvo. A Monokle também tentará gravar a tela durante um evento de desbloqueio de tela, de modo a comprometer o PIN, o padrão ou a senha de um usuário. ”
Na frente de assinatura automática, com acesso root, a Monokle é capaz de instalar certificados adicionais especificados pelo invasor para os certificados confiáveis em um dispositivo infectado, “abrindo efetivamente o alvo e o dispositivo para o man-in-the-middle (MITM)”. ataques contra o tráfego TLS ”, escreveram os pesquisadores. Para fazer isso, ele remonta a partição do sistema para instalar o certificado especificado pelo invasor em / system / etc / security / cacerts /).
Outras funcionalidades incluem uma cornucópia de truques clássicos de spyware, como a capacidade de coletar informações de contatos e calendários, gravar áudio e chamadas, recuperar e-mails e mensagens (inclusive do WhatsApp, Skype e outros), tirar fotos e gravar vídeos, rastrear a localização do dispositivo e screenshots. Outros recursos incluem keylogging, recuperação de históricos de navegação e chamadas, interação com aplicativos de escritório populares para recuperar texto do documento, fazer chamadas e enviar mensagens de texto, impressão digital de dispositivos, recuperar contas e senhas associadas e gravações de tela.
Ele também pode excluir arquivos arbitrários e baixar novos arquivos, reinicializar um dispositivo e executar código de shell arbitrário. E também pode detectar o sal que foi usado ao armazenar a senha de um usuário em repouso, permitindo a recuperação de texto simples da senha ou do código PIN de um usuário. além disso, pode redefinir o código PIN de um usuário.
Os aplicativos cliente podem ser controlados por mensagens SMS, conexões TCP de entrada a um encadeamento de escuta, conexões TCP de beacon de saída a um comando e controle, troca de mensagens de e-mail por meio de POP3 e SMTP e chamadas telefônicas de entrada. O tráfego de saída parece sempre ser tunnelled por TLS nas amostras de aplicativos mais recentes, de acordo com a Lookout.
Alvos
O Monokle, como a maioria das armas avançadas de ameaças, parece ser muito direcionado: está se espalhando por meio de um conjunto muito limitado de aplicativos trojanizados que contêm funcionalidade legítima para evitar a suspeita do usuário. A Lookout observou amostras que remontam a março de 2016, e sua telemetria mostra que a atividade parece permanecer pequena, mas consistente, com pico durante o primeiro semestre de 2018 e continuando até os dias atuais.
O Monokle provavelmente foi usado para atingir indivíduos nas regiões do Cáucaso e indivíduos interessados no grupo militante Ahrar al-Sham na Síria, entre outros, de acordo com a análise da Lookout dos aplicativos em questão; Por exemplo, um aplicativo trojanizado chamado Ahrar Maps fez a ronda na Síria durante o início de 2017, oferecido por meio de um site de terceiros que anuncia a associação com Ahrar al-Sham.
“Há algumas evidências apontando para alvos em potencial em arquivos de configuração e títulos de aplicativos que continham Monokle”, segundo o relatório. “Com base em títulos e ícones de certas aplicações, concluímos que indivíduos nos seguintes grupos são alvos de Monokle: Indivíduos interessados no Islã; indivíduos que estão interessados ou associados ao grupo militante Ahrar al-Sham na Síria; indivíduos que vivem ou estão associados às regiões do Cáucaso da Europa Oriental; e indivíduos que possam estar interessados em um aplicativo de mensagens chamado “Uzbekhat” que faz referência à nação da Ásia Central e à antiga república soviética do Uzbequistão “.
Em várias amostras de Android do Monokle, existem comandos não usados e objetos de transferência de dados (DTOs) que sugerem a existência de uma versão iOS do cliente, embora nenhuma versão do iOS tenha sido vista ainda em estado natural.
“Essas classes e comandos parecem não servir como parte do cliente Android e podem ter sido gerados e incluídos de forma não intencional”, de acordo com o relatório.
Atribuição
Depois de analisar os arquivos de configuração de várias amostras da família de malware, a Lookout descobriu que eles dependem de pelo menos 22 servidores de comando e controle diferentes e possuem telefones de controle específicos que usam o código de país +7 da Rússia.
Os pesquisadores atribuíram o RAT ao Special Technology Center (STC), um empreiteiro de defesa russo que foi previamente sancionado pelo governo dos EUA sob o presidente Obama, por interferir nas eleições presidenciais de 2016. Pesquisadores da Lookout disseram que o grupo tem um pacote de software com recursos tanto defensivos quanto ofensivos que oferece aos clientes do governo.
“O conjunto de segurança Android da STC e o Monokle estão ligados uns aos outros com a ajuda de certificados de assinantes e infra-estrutura de comando e controle sobrepostos”, segundo o relatório. “A infraestrutura de comando e controle que se comunica com o aplicativo Defender [um produto STC conhecido] também se comunica com amostras Monokle. Os certificados de assinatura usados para assinar os pacotes de aplicativos Android também se sobrepõem ao Defender e ao Monokle. Sobreposição adicional foi observada pelos pesquisadores da Lookout entre a Monokle e o software de segurança defensivo produzido pela STC nas opções de desenvolvimento e implementação dos autores. ”
FONTE: https://threatpost.com/monokle-android-spyware/146655/