Novo spyware abusa do serviço de acessibilidade do Android e obtém 18 tipos de permissões de acesso, segundo os pesquisadores do Lab52*:
- Acessar a localização aproximada
- Acessar a localização precisa
- Acessar o estado da Wi-Fi
- Acessar o estado da rede móvel
- Câmera
- Enviar SMS
- Gravar áudio
- Gravar no armazenamento externo
- Internet
- Ler SMS
- Ler o armazenamento externo
- Ler o estado do telefone
- Ler o registro de chamadas
- Ler os contatos
- Modificar as configurações de áudio
- Receber informação de inicialização concluída
- Registro de despertar
- Serviço de primeiro plano
Após ser instalado, o falso app "Gerenciador de processos" finge ser um componente do sistema, o seu ícone é silenciosamente removido e ele passa a coletar a lista de contatos, mensagens, localização, tirar fotos ocultar, gravar o seu áudio e vídeo, além de poder acessar todos os seus arquivos pessoais. Os dados são enviados a um servidor localizado na Rússia (82[.]146[.]35[.]240).
Notificação mantém o spyware continuamente rodando. Fonte: Lab52
O spyware também realiza um movimento inusitado e baixa o popular app "Roz Dhan: Earn Wallet cash" que conta com mais de 10.000.000 de downloads, provavelmente ganhando uma comissão ou tentando disfarçar as suas ações maliciosas.
Não há certeza de que o grupo Turla – descoberto em 2020 e apoiado pelo governo da Rússia – esteja patrocinando o ataque. Recomendamos que você escaneie o seu smartphone, revogue as permissões ou desinstale qualquer app suspeito. O Avast Mobile Security bloqueia automaticamente e limpa essa infecção (Android:L3mon-B [Spy]).
Editor de fotos rouba dados pessoais
Outro malware – o FaceStealer – foi encontrado no app Craftsart Cartoon Photo Tools na loja Google Play. Instalado em mais de 100 mil aparelhos e descoberto por pesquisadores da Pradeo, ele solicita o login no Facebook para “liberar as funções” e, depois, envia os dados a um servidor na Rússia, segundo os pesquisadores.
Editor de fotos infectado. Fonte: Pradeo
Invadindo sua conta, os cibercriminosos lançam golpes financeiros ou espalham fake news em nome das vítimas. Se você baixou o app, escaneie e remova-o com o Avast Mobile Security (APK:RepMalware [Trj]), troque sua senha no Facebook e habilite imediatamente a autenticação de 2 fatores em sua conta.
Spyware Vidar vem escondido em e-mail
Pesquisadores da Trustwave* relataram que o spyware Vidar disfarçado de um arquivo de ajuda do Windows (extensão CHM) está sendo espalhado em anexos de e-mail.
Spyware Vidar que é vendido em fóruns da dark web. Fonte: Trustwave
Após infectar o computador, dados de login em redes sociais e outros armazenados nos navegadores – inclusive dados bancários – são enviados a um servidor na Finlândia (95[.]216[.]181[.]231). O Avast Free Antivírus bloqueia automaticamente esta infecção (Win32:AceCrypter-G [Cryp]).
A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.
* Original em inglês.
Photo by ian dooley on Unsplash