Foi descoberto uma nova ferramenta que hackers utilizam para controlar dispositivos android remotamente e extrair qualquer dado.
Pesquisadores da ESET descobriram uma nova família de Ferramentas de Administração Remota (RATs) em sistemas Android que usam o protocolo do Telegram para controlar dispositivos e extrair informações deles.
Ao investigar o que parece ser um aumento da atividade em dois malwares já conhecidos, IRRAT e TeleRAT, os pesquisadores descobriram um tipo inteiramente novo de malware, que se espalhou ao redor do mundo desde agosto de 2017.
Em março de 2018 foi divulgado seu código em open-source e em canais de hackers no Telegram, resultando em centenas de versões diferentes desse malware rodando por aí.
Uma dessas versões é diferente das outras devido a qualidade de seu código e de ferramentas disponíveis. Embora o código-fonte esteja disponível para todos e de graça, ele é oferecido para venda em um canal de telegram dedicado, onde é chamado de HeroRAT
HeroRAT, está disponível para compra em 3 modelos de pagamento de acordo com as funções exigidas. Não está claro se esta versão foi criada a partir do código fonte vazado ou se é a "fonte" cujo código vazou.
Como o malware funciona?
Os invasores fazem com que as vítimas baixem as ferramentas de controle remoto distribuindo-as sob vários disfarces tentadores, por meio de lojas de aplicativos independentes, redes sociais e aplicativos de mensagens. Foi encontrado esse malware sendo distribuído como um aplicativo que oferece gratuitamente moedas Bitcoin, conexão gratuita à Internet e para aumentar seguidores de redes sociais, especialmente no Irã. O malware não foi encontrado na loja oficial do Google, Google Play.
Alguns dos aplicativos usados para distribuir o malware
O malware funciona em todas as versões do Android, mas os usuários que instalam o malware devem fornecer as permissões necessárias (incluindo a execução do aplicativo como o gerenciador de dispositivos), e é nesse ponto que a engenharia social entra em ação.
A ferramenta de controle remoto solicitando privilégios de administrador
Quando o malware é instalado e ativado no dispositivo da vítima, aparece uma mensagem indicando que o aplicativo não pode operar no dispositivo e, portanto, será removido dele.
Nas versões analisadas, o aviso de remoção aparece em inglês ou persa, dependendo das configurações de idioma do usuário no dispositivo.
Depois que a remoção termina, o ícone do aplicativo parece ter desaparecido. No entanto, por parte do atacante, uma nova vítima é imediatamente registrada.
O criador do HeroRAT demonstra a instalação do malware em seu dispositivo (captura de tela de um vídeo tutorial dado pelo criador do malware)
O código fonte do malware com falsas mensagens de remoção em inglês e persa
Após o invasor ter acesso ao dispositivo da vítima, ele usa a função de Bot's do Telegram para controlar o novo dispositivo. Cada um dos dispositivos hackeados é controlado por um bot, instalado e ativado pelo aplicativo Telegram do invasor.
O malware tem uma ampla gama de recursos de espionar e roubar arquivos, incluindo interceptação de mensagens e contatos, envio de mensagens de texto e chamadas, gravação de tela e áudio, acesso à localização física do dispositivo e controle das configurações do dispositivo.
O malware HeroRAT é dividido em três "pacotes" diferentes, bronze, prata e ouro, colocados à venda por US $25, US $50 e US $100, respectivamente. O código fonte em si é oferecido para venda pelo (talentoso) criador da HeroRAT por 650 dólares.
Os recursos do malware estão disponíveis na forma de botões clicáveis na interface do aplicativo Telegram. Os atacantes podem controlar os dispositivos hackeados simplesmente clicando nos botões disponíveis na versão do malware que eles executam.
Painel de Controle do HeroRAT
As funções do HeroRAT - nas versões bronze, prata e ouro, da esquerda para a direita (screenshots do vídeo de treinamento dado pelo criador do malware)
Ao contrário das ferramentas de controle remoto mal-intencionado anteriores, escritas em Java, a linguagem padrão dos sistemas Android, essa nova família de malware foi desenvolvida a partir do zero usando a linguagem C# e Xamarin - uma combinação rara para malwares de Android.
A maneira como os nanossegundos se comunicam com o protocolo do telegram foi adaptada à sua linguagem de programação. Em vez de usar a API Telegram Bot, que é usada pelas ferramentas de controle remoto anteriormente pesquisadas, essa família de malware usa o Telesharp, uma biblioteca usada para criar uma Bots do Telegram usando a linguagem de programação C#.
A transferência de comandos para o dispositivo e a remoção de informações do dispositivo são feitas usando apenas um protocolo, um meio de impedir a identificação do malware, o que geralmente é feito pelo monitoramento do tráfego para servidores de upload conhecidos.
Como se defender?
Como o código-fonte do malware se tornou disponível para todos recentemente, agora é possível desenvolver e distribuir novas versões em qualquer lugar do mundo. Como o método de distribuição é feito através de aplicativos disfarçados e isso varia de caso para caso, não é suficiente procurar aplicativos específicos no seu dispositivo para ver se ele é um malware de controle remoto.
A melhor solução é ter noção que não existe um aplicativo que vai carregar sua bateria em 100% ou que lhe dará dinheiro de graça.
Se você acredita que o seu dispositivo foi comprometido por esse malware, verifique seu dispositivo com uma solução de segurança confiável para dispositivos móveis.
Para evitar ser vítima de malware Android, use apenas a loja oficial do Google Play para fazer download de aplicativos. Leia as resenhas de usuários antes de fazer o download de qualquer aplicativo e observe quais permissões você concede aos aplicativos antes e depois da instalação.