Lisandro Carmona

9 Dezembro 2015

DroidJack não é o único app espião: o Avast descobriu que o OmniRat está sendo utilizado por cibercriminosos para controlar remotamente os aparelhos móveis.

Há mais de um aplicativo que espiona você


A equipe do Avast descobriu o OmniRat, uma programa semelhante ao DroidJack. O DroidJack é um programa que facilita a espionagem remota e, recentemente, se tornou notícia porque as agências europeias prenderam e revistaram as casas dos suspeitos de participar de crimes internacionais através de malwares.


O OmniRat e o DroidJack são RATs (remote administration tools, ferramentas de administração remota) que permitem que você controle remotamente qualquer aparelho Android. O OmniRat também lhe dá o controle de qualquer aparelho Windows, Linux ou Mac. Quando o programa é instalado no aparelho alvo, você obtém o controle remoto completo do aparelho.
No seu site, o OmniRat lista todas as coisas que você pode fazer em um aparelho Android, incluindo: obter informações detalhadas sobre os serviços e processos sendo executados no aparelho, ver e apagar o histórico de navegação, fazer chamadas ou enviar SMSs para qualquer número, gravar áudio, executar comandos no aparelho e muito mais.


OmniRat


Como o DroidJack, o OmniRat pode ser comprador online, mas comparado com o DroidJack, é uma pechincha. Enquanto o DroidJack custa 210 dólares, o OmniRat custa apenas 25f a 50 dólares, dependendo de que tipo de aparelho você deseja controlar.


Você pode estar se perguntando: "por que um programa assim está sendo vendido na internet?". De acordo com o criador do DroidJack, Sanjeevi, "o Droidjack é uma ferramenta de controle remoto para os pais", mas a Europol deixou muito claro que utilizar um programa como DroidJack para objetivos maliciosos pode ter consequências graves. Uma investigação da Europol e da Eurojust, junto com autoridades americanas, prendeu usuários do DroidJack.


A variante OmniRat espalhada na internet


Uma versão personalizada do OmniRat está sendo espalhada através de engenharia social. Um usuário de um fórum de tecnologia alemão, Techboard-online, descreve como o RAT se espalhou para o seu aparelho Android através de SMSs. Depois de pesquisar sobre o incidente, concluímos que uma variante do OmniRat está sendo utilizada.


O autor da postagem recebeu um SMS dizendo que recebeu um MMS de outra pessoa: "Este MMS não pode ser enviado diretamente a você, devido à falha StageFright do Android. Acesse o MMS em 3 dias [bitly link] com o seu telefone e digite o código PIN [código]“. Quando o link é aberto, um site é carregado e você deve digitar o código do SMS e o seu número de telefone.


Quando você digita o seu número de telefone e o código, um aplicativo, mms-einst8923, é baixado no telefone dizendo que as configurações MMS foram modificadas com sucesso e carrega um ícone, chamado "Obter MMS" no seu telefone.





MMS Empfang app widget MMSempfang


Quando o ícone é aberto pela vítima, o mms-einst8923.apk extrai o OmniRat que está codificado dentro do mms-einst8923.apk. No exemplo descrito no fórum Techboard-online, uma versão personalizada do OmniRat é extraída.


O arquivo OmniRat solicita que os usuários aceitem e concedam muitas permissões ao OmniRat, incluindo editar mensagens de texto, ler logs de chamadas e contatos, modificar ou excluir o conteúdo do cartão. Todas estas permissões podem parecer suspeitas e você pode estar pensando, "por que alguém iria dar tanto acesso a um aplicativo?", mas muitos confiam e a maioria dos aplicativos baixados na loja Google Play solicitam muitas das mesmas permissões. A diferença essencial é a fonte dos aplicativos. Sempre recomendamos que os usuários leiam as permissões dos aplicativos com cuidado. Contudo, quando um aplicativo é baixado diretamente da Google Play e solicita estes acessos, provavelmente não seja um aplicativo malicioso. Se, como neste caso, o aplicativo for baixado de uma fonte desconhecida, os usuários devem ficar muito alertas às permissões que são solicitadas.


com.android.engine com.android.engine 2


Assim que é instalado, o OmniRat permite o hacker tenha acesso administrativo remoto completo ao aparelho. Mesmo que a vítima exclua o ícone original "MMS Retrieve" instalado com o mms-einst8923, o OmniRat permanece no aparelho infectado. A vítima não fica sabendo que o seu aparelho está sendo controlado por outra pessoa e que cada movimento que fazem no seu aparelho está sendo gravado e as informações estão sendo enviadas para um servidor.


Além disso, uma vez que os cibercriminosos ganham o controle da lista de contatos de um aparelho, eles podem facilmente disseminar o malware a outras pessoas. Dentro desta variante do OmniRat há uma função que envia vários SMSs. O que torna isto especialmente perigoso é que o SMS enviado via OmniRat do aparelho infectado irá aparecer como sendo de um contato conhecido e confiável no aparelho dos seus contatos, o que aumenta as chances de que sigam o link e infectem o seu próprio aparelho.



Sabemos que os dados coletados por esta versão personalizada do OmniRat está atingiu o alemão da postagem do fórum Techboard foi enviado de um servidor russo, devido aos comandos e controles utilizados no tráfego de dados.


Leia mais

espião, Segurança para Mobiles, espionagem, Segurança Cibernética

Lisandro Carmona

11 Julho 2015

CEO da Avast fala sobre as agências de espionagem americanas e inglesas

Sempre que houver um governo, haverá agências de espionagem. E sempre que houver agências de espionagem, elas farão espionagem. Agências de espionagem sempre procuram formas de obter informações: algo que sempre foi e sempre será valioso. Avast CEO, Vince Steckler




Novos documentos dentre os muitos que foram vazados pelo ex-analista da inteligência americana, Edward Snowden, foram publicados na semana passada no The Intercept. Eles revelam que a Agência de Segurança Nacional americana (NSA) e a sua colega britânica, Government Communications Headquarters (GCHQ), espionaram as empresas de segurança Avast, AVG, Kaspersky Lab e Antiy. As agências de espionagem parecem ter colocado o alvo em empresas de fora dos Estados Unidos: a Avast e a AVG têm sua sede em Praga, na República Checa; a Kaspersky está em Moscou, Rússia e a Antiy é chinesa. Estas empresas têm juntas quase um bilhão de usuários. Nenhuma empresa americana ou inglesa foi incluída na lista.

"Geopoliticamente falando, faz sentido que a NSA e o GCHQ coloquem seus alvos em produtos utilizados majoritariamente por governos estrangeiros, como o Kaspersky na Rússia ou o CheckPoint em Israel", disse Steckler em uma entrevista à RT News. "Em resposta, as agências de espionagem russas e chinesas podem colocar os seus alvos em produtos com grande número de usuários no governo dos Estados Unidos, por exemplo, a Symantec e a McAfee. Estamos ouvindo apenas um lado da história".




É sabido que técnicos da NSA e do GCHQ utilizam engenharia reversa nos programas antivírus para manejá-los e evitar que detectem a sua própria espionagem.

"É difícil de dizer se a NSA, o GCHQ ou outras agências governamentais tentaram fazer engenharia reversa em nosso software", disse Steckler. "Mesmo se o fizeram, eles apenas vão poder fazer isto do lado do usuário, o que significa incluir padrões simples de detecção. Contundo, eles não podem ter feito engenharia reversa do nosso lado, o que incluiria a nossa sofisticada tecnologia de detecção e classificação".




Os documentos tam.bém revelam que as organizações recomendam o monitoramento dos usuários que tiveram malware detectado "para saber se estavam envolvidos em atividades mais perigosas".


Enquanto algumas empresas estão mais propensas a se aliar com os governos dos seus países de origem, isto não é algo que a Avast faz.

"O fato de que a NSA possa ter-nos como alvo quando algumas das maiores empresas de segurança americanas e britânicas ficaram fora das suas listas prova que não cooperamos com a NSA e com o GCHQ", disse Steckler. "Os que não estão na lista muito provavelmente forneceram o seu código fonte e, por isso, não há necessidade de engenharia reversa. O nosso compromisso com os nossos usuários é fornecer proteção contra todas as formas de espionagem."




Vince Steckler falou à RT News, uma rede de televisão russa, sobre as novas revelações. Assista à entrevista agora:




Leia mais

governo, Inglaterra, Estados Unidos, espionagem, Segurança Cibernética