Novos spywares enviam seus dados para servidores na Rússia

Guerra cibernética e roubo de dados pessoais atingem usuários comuns

Novo spyware abusa do serviço de acessibilidade do Android e obtém 18 tipos de permissões de acesso, segundo os pesquisadores do Lab52*:

  • Acessar a localização aproximada
  • Acessar a localização precisa
  • Acessar o estado da Wi-Fi
  • Acessar o estado da rede móvel
  • Câmera
  • Enviar SMS
  • Gravar áudio
  • Gravar no armazenamento externo
  • Internet
  • Ler SMS
  • Ler o armazenamento externo
  • Ler o estado do telefone
  • Ler o registro de chamadas
  • Ler os contatos
  • Modificar as configurações de áudio
  • Receber informação de inicialização concluída
  • Registro de despertar
  • Serviço de primeiro plano

Após ser instalado, o falso app "Gerenciador de processos" finge ser um componente do sistema, o seu ícone é silenciosamente removido e ele passa a coletar a lista de contatos, mensagens, localização, tirar fotos ocultar, gravar o seu áudio e vídeo, além de poder acessar todos os seus arquivos pessoais. Os dados são enviados a um servidor localizado na Rússia (82[.]146[.]35[.]240).

4Notificação mantém o spyware continuamente rodando. Fonte: Lab52

O spyware também realiza um movimento inusitado e baixa o popular app "Roz Dhan: Earn Wallet cash" que conta com mais de 10.000.000 de downloads, provavelmente ganhando uma comissão ou tentando disfarçar as suas ações maliciosas.

2022-04-05_13-57

Não há certeza de que o grupo Turla – descoberto em 2020 e apoiado pelo governo da Rússia – esteja patrocinando o ataque. Recomendamos que você escaneie o seu smartphone, revogue as permissões ou desinstale qualquer app suspeito. O Avast Mobile Security bloqueia automaticamente e limpa essa infecção (Android:L3mon-B [Spy]).

Editor de fotos rouba dados pessoais

Outro malware – o FaceStealer – foi encontrado no app Craftsart Cartoon Photo Tools na loja Google Play. Instalado em mais de 100 mil aparelhos e descoberto por pesquisadores da Pradeo, ele solicita o login no Facebook para “liberar as funções” e, depois, envia os dados a um servidor na Rússia, segundo os pesquisadores.

image-png-Mar-21-2022-02-37-37-92-PMEditor de fotos infectado. Fonte: Pradeo

Invadindo sua conta, os cibercriminosos lançam golpes financeiros ou espalham fake news em nome das vítimas. Se você baixou o app, escaneie e remova-o com o Avast Mobile Security (APK:RepMalware [Trj]), troque sua senha no Facebook e habilite imediatamente a autenticação de 2 fatores em sua conta.

Spyware Vidar vem escondido em e-mail

Pesquisadores da Trustwave* relataram que o spyware Vidar disfarçado de um arquivo de ajuda do Windows (extensão CHM) está sendo espalhado em anexos de e-mail.

picture5qSpyware Vidar que é vendido em fóruns da dark web. Fonte: Trustwave

Após infectar o computador, dados de login em redes sociais e outros armazenados nos navegadores – inclusive dados bancários – são enviados a um servidor na Finlândia (95[.]216[.]181[.]231). O Avast Free Antivírus bloqueia automaticamente esta infecção (Win32:AceCrypter-G [Cryp]).


A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.

Photo by ian dooley on Unsplash

--> -->