Pesquisadores da ESET descobriram o primeiro spyware conhecido que é construído sobre os fundamentos do malware de código aberto AhMyth e contornou o processo de verificação de aplicativos do Google. O aplicativo malicioso, chamado Radio Balouch, também conhecido como RB Music, é na verdade um aplicativo de streaming de rádio totalmente funcional para os entusiastas de música da Balouchi, exceto pelo fato de ter uma grande falha em roubar dados pessoais de seus usuários. O aplicativo entrou duas vezes na loja oficial de aplicativos para Android, mas foi rapidamente removido pelo Google duas vezes depois que alertamos a empresa sobre isso.

AhMyth, a ferramenta de acesso remoto de código aberto, da qual o aplicativo Radio Balouch emprestou sua funcionalidade maliciosa, foi disponibilizada publicamente no final de 2017. Desde então, testemunhamos vários aplicativos maliciosos baseados nele; no entanto, o aplicativo Radio Balouch é o primeiro deles a aparecer na loja de aplicativos oficial do Android.

A solução de segurança móvel da ESET protege os usuários da AhMyth e seus derivados desde janeiro de 2017 - mesmo antes de AhMyth abrir o capital. Como a funcionalidade maliciosa no AhMyth não está oculta, protegida ou ofuscada, é trivial identificar o aplicativo Radio Balouch - e outros derivados - como malicioso, e classificá-lo como pertencente à família AhMyth.

Além do Google Play, o malware, detectado pela ESET como Android / Spy.Agent.AOX, está disponível em lojas de aplicativos alternativos. Além disso, foi promovido em um site dedicado, via Instagram e YouTube. Informamos a natureza maliciosa da campanha para os respectivos provedores de serviços, mas não recebemos resposta.

Radio Balouch é um aplicativo de streaming de rádio totalmente funcional para música específica para a região de Balouchi (por uma questão de consistência, seguimos a ortografia usada na campanha; as transcrições mais comuns são "Balochi" ou "Baluchi"). No fundo, no entanto, o aplicativo espiona suas vítimas.

No Google Play, descobrimos diferentes versões do aplicativo malicioso Radio Balouch duas vezes e, em cada caso, o aplicativo tinha mais de 100 instalações. Nós relatamos a primeira aparição deste aplicativo na loja Android oficial para a equipe de segurança do Google em 2 de Julho de 2019, e foi removido em 24 horas.

O Rádio Balouch reapareceu no Google Play em 13 de julho de 2019. Esta, também, foi imediatamente relatada pela ESET e rapidamente removidos pelo Google.

Figura 1. O aplicativo malicioso do Radio Balouch apareceu duas vezes no Google Play

Depois de ser removido do Google Play, o aplicativo de rádio malicioso só está disponível em lojas de aplicativos de terceiros no momento da publicação. Também foi distribuído a partir de um site dedicado, radiobalouch [.] Com, através de um link promovido através de uma conta no Instagram relacionada. Este servidor também foi usado para as comunicações C & C do spyware (veja abaixo). O domínio foi registrado em 30 de março de 2019, e logo após a nossa queixa, o site foi para baixo e ainda é, no momento da escrita.

A conta do Instagram dos atacantes ainda, no momento da escrita, serve um link para o aplicativo que foi removido do Google Play. Eles também montaram um canal no YouTube com um vídeo apresentando o aplicativo; aparentemente, eles não promovem isso, pois o vídeo tem apenas 21 visualizações no momento da escrita.

Figura 2. O site do Radio Balouch (à esquerda), conta do Instagram (centro) e vídeo promocional do YouTube (à direita)

Funcionalidade

O malicioso aplicativo Radio Balouch funciona no Android 4.2 e acima. Sua funcionalidade de rádio na Internet é empacotada com a funcionalidade do AhMyth em um aplicativo malicioso.

Após a instalação, o componente de rádio da Internet é totalmente funcional, reproduzindo um fluxo de música Balouchi. No entanto, a funcionalidade maliciosa adicionada permite que o aplicativo roube contatos, colete arquivos armazenados no dispositivo e envie mensagens SMS a partir do dispositivo afetado.

Funcionalidade para roubar mensagens SMS armazenadas no dispositivo também está presente. No entanto, essa funcionalidade não pode ser utilizada, pois as restrições recentes do Google permitem que o aplicativo de SMS padrão acesse essas mensagens.Como AhMyth tem mais variantes cujas funcionalidades variam, o aplicativo Radio Balouch e qualquer outro malware baseado nessa ferramenta de espionagem de código aberto podem obter outras funções no futuro por meio de uma atualização.

Após o lançamento, os usuários escolhem seu idioma preferido (inglês ou farsi); na próxima etapa, o aplicativo começa a solicitar permissões. Primeiro, solicita acesso a arquivos no dispositivo, que é uma permissão legítima para um aplicativo de rádio ativar sua funcionalidade; se recusado, o rádio não funcionaria.

Em seguida, o aplicativo solicita a permissão para acessar os contatos. Aqui, para camuflar sua solicitação para essa permissão, sugere que essa funcionalidade seja necessária caso o usuário decida compartilhar o aplicativo com amigos em sua lista de contatos. Se o usuário se recusar a conceder as permissões de contato, o aplicativo funcionará independentemente.

Figura 3. Solicitações de Permissões do Aplicativo Radio Balouch

Após a configuração, o aplicativo abre sua tela inicial com opções de música e oferece a opção de registrar e fazer login. No entanto, qualquer "registro" não tem sentido, pois qualquer entrada levará o usuário para o estado "logado", no inglês fraco dos operadores. Provavelmente, essa etapa foi adicionada para atrair credenciais das vítimas e tentar invadir outros serviços usando as senhas obtidas - um lembrete para nunca reutilizar senhas nos serviços. Em uma nota lateral: as credenciais são transmitidas sem criptografia, através de uma conexão HTTP.

Figura 4. Ecrãs Home (esquerda) e Settings (direita) da aplicação Radio Balouch

Para comunicação C & C, a Radio Balouch conta com o seu (agora extinto) domínio radiobalouch [.] Com. É aqui que ela envia informações coletadas sobre suas vítimas - principalmente informações sobre os dispositivos comprometidos e as listas de contatos das vítimas. Tal como acontece com as credenciais da conta, o tráfego C & C é transmitido sem criptografia através de uma conexão HTTP.

Figura 5. Comunicação do Radio Balouch com seu servidor C & C

Conclusão

A aparência (repetida) do malware Radio Balouch na Google Play Store deve servir como uma chamada de ativação para a equipe de segurança do Google e para os usuários do Android. A menos que o Google melhore seus recursos de proteção, um novo clone do Radio Balouch ou qualquer outro derivado do AhMyth pode aparecer no Google Play.

Enquanto o principal imperativo de segurança "Ficar com fontes oficiais de aplicativos" ainda é válido, sozinho não pode garantir a segurança. É altamente recomendável que os usuários examinem todos os aplicativos que pretendem instalar em seus dispositivos e usem uma solução de segurança móvel respeitável.