O primeiro tipo de spyware que infiltrou no Google Play

O primeiro tipo de spyware que infiltrou no Google Play

Uma análise da ESET apresentou o primeiro spyware conhecido que é construído na ferramenta de espionagem de código aberto AhMyth e apareceu no Google Play duas vezes

Pesquisadores da ESET descobriram o primeiro spyware conhecido que é construído sobre os fundamentos do malware de código aberto AhMyth e contornou o processo de verificação de aplicativos do Google. O aplicativo malicioso, chamado Radio Balouch, também conhecido como RB Music, é na verdade um aplicativo de streaming de rádio totalmente funcional para os entusiastas de música da Balouchi, exceto pelo fato de ter uma grande falha em roubar dados pessoais de seus usuários. O aplicativo entrou duas vezes na loja oficial de aplicativos para Android, mas foi rapidamente removido pelo Google duas vezes depois que alertamos a empresa sobre isso.


AhMyth, a ferramenta de acesso remoto de código aberto, da qual o aplicativo Radio Balouch emprestou sua funcionalidade maliciosa, foi disponibilizada publicamente no final de 2017. Desde então, testemunhamos vários aplicativos maliciosos baseados nele; no entanto, o aplicativo Radio Balouch é o primeiro deles a aparecer na loja de aplicativos oficial do Android.


A solução de segurança móvel da ESET protege os usuários da AhMyth e seus derivados desde janeiro de 2017 - mesmo antes de AhMyth abrir o capital. Como a funcionalidade maliciosa no AhMyth não está oculta, protegida ou ofuscada, é trivial identificar o aplicativo Radio Balouch - e outros derivados - como malicioso, e classificá-lo como pertencente à família AhMyth.


Além do Google Play, o malware, detectado pela ESET como Android / Spy.Agent.AOX, está disponível em lojas de aplicativos alternativos. Além disso, foi promovido em um site dedicado, via Instagram e YouTube. Informamos a natureza maliciosa da campanha para os respectivos provedores de serviços, mas não recebemos resposta.


Radio Balouch é um aplicativo de streaming de rádio totalmente funcional para música específica para a região de Balouchi (por uma questão de consistência, seguimos a ortografia usada na campanha; as transcrições mais comuns são "Balochi" ou "Baluchi"). No fundo, no entanto, o aplicativo espiona suas vítimas.


No Google Play, descobrimos diferentes versões do aplicativo malicioso Radio Balouch duas vezes e, em cada caso, o aplicativo tinha mais de 100 instalações. Nós relatamos a primeira aparição deste aplicativo na loja Android oficial para a equipe de segurança do Google em 2 de Julho de 2019, e foi removido em 24 horas.


O Rádio Balouch reapareceu no Google Play em 13 de julho de 2019. Esta, também, foi imediatamente relatada pela ESET e rapidamente removidos pelo Google.


Figura 1. O aplicativo malicioso do Radio Balouch apareceu duas vezes no Google Play

Depois de ser removido do Google Play, o aplicativo de rádio malicioso só está disponível em lojas de aplicativos de terceiros no momento da publicação. Também foi distribuído a partir de um site dedicado, radiobalouch [.] Com, através de um link promovido através de uma conta no Instagram relacionada. Este servidor também foi usado para as comunicações C & C do spyware (veja abaixo). O domínio foi registrado em 30 de março de 2019, e logo após a nossa queixa, o site foi para baixo e ainda é, no momento da escrita.


A conta do Instagram dos atacantes ainda, no momento da escrita, serve um link para o aplicativo que foi removido do Google Play. Eles também montaram um canal no YouTube com um vídeo apresentando o aplicativo; aparentemente, eles não promovem isso, pois o vídeo tem apenas 21 visualizações no momento da escrita.


Figura 2. O site do Radio Balouch (à esquerda), conta do Instagram (centro) e vídeo promocional do YouTube (à direita)

Funcionalidade

O malicioso aplicativo Radio Balouch funciona no Android 4.2 e acima. Sua funcionalidade de rádio na Internet é empacotada com a funcionalidade do AhMyth em um aplicativo malicioso.


Após a instalação, o componente de rádio da Internet é totalmente funcional, reproduzindo um fluxo de música Balouchi. No entanto, a funcionalidade maliciosa adicionada permite que o aplicativo roube contatos, colete arquivos armazenados no dispositivo e envie mensagens SMS a partir do dispositivo afetado.


Funcionalidade para roubar mensagens SMS armazenadas no dispositivo também está presente. No entanto, essa funcionalidade não pode ser utilizada, pois as restrições recentes do Google permitem que o aplicativo de SMS padrão acesse essas mensagens.Como AhMyth tem mais variantes cujas funcionalidades variam, o aplicativo Radio Balouch e qualquer outro malware baseado nessa ferramenta de espionagem de código aberto podem obter outras funções no futuro por meio de uma atualização.


Após o lançamento, os usuários escolhem seu idioma preferido (inglês ou farsi); na próxima etapa, o aplicativo começa a solicitar permissões. Primeiro, solicita acesso a arquivos no dispositivo, que é uma permissão legítima para um aplicativo de rádio ativar sua funcionalidade; se recusado, o rádio não funcionaria.


Em seguida, o aplicativo solicita a permissão para acessar os contatos. Aqui, para camuflar sua solicitação para essa permissão, sugere que essa funcionalidade seja necessária caso o usuário decida compartilhar o aplicativo com amigos em sua lista de contatos. Se o usuário se recusar a conceder as permissões de contato, o aplicativo funcionará independentemente.


Figura 3. Solicitações de Permissões do Aplicativo Radio Balouch

Após a configuração, o aplicativo abre sua tela inicial com opções de música e oferece a opção de registrar e fazer login. No entanto, qualquer "registro" não tem sentido, pois qualquer entrada levará o usuário para o estado "logado", no inglês fraco dos operadores. Provavelmente, essa etapa foi adicionada para atrair credenciais das vítimas e tentar invadir outros serviços usando as senhas obtidas - um lembrete para nunca reutilizar senhas nos serviços. Em uma nota lateral: as credenciais são transmitidas sem criptografia, através de uma conexão HTTP.


Figura 4. Ecrãs Home (esquerda) e Settings (direita) da aplicação Radio Balouch

Para comunicação C & C, a Radio Balouch conta com o seu (agora extinto) domínio radiobalouch [.] Com. É aqui que ela envia informações coletadas sobre suas vítimas - principalmente informações sobre os dispositivos comprometidos e as listas de contatos das vítimas. Tal como acontece com as credenciais da conta, o tráfego C & C é transmitido sem criptografia através de uma conexão HTTP.


Figura 5. Comunicação do Radio Balouch com seu servidor C & C

Conclusão


A aparência (repetida) do malware Radio Balouch na Google Play Store deve servir como uma chamada de ativação para a equipe de segurança do Google e para os usuários do Android. A menos que o Google melhore seus recursos de proteção, um novo clone do Radio Balouch ou qualquer outro derivado do AhMyth pode aparecer no Google Play.


Enquanto o principal imperativo de segurança "Ficar com fontes oficiais de aplicativos" ainda é válido, sozinho não pode garantir a segurança. É altamente recomendável que os usuários examinem todos os aplicativos que pretendem instalar em seus dispositivos e usem uma solução de segurança móvel respeitável.

O que fazemosServiços

3CX Phone System

3CX Phone SystemA melhor telefonia IP

Reduza o seu gasto com telefone em até 80%.
Colaboradores remotos ou funcionários em movimento podem ligar gratuitamente através do ramal móvel. Conecte escritórios remotos, melhore a comunicação e torne chamadas entre escritórios gratuitas.
Conheça todas as vantagens em ter o 3CX na sua empresa.

Saiba Mais

SG - Serviços Gerenciados

Serviços GerenciadosNos preocupamos por você!

Nosso objetivo é ajudá-lo à ser mais efieciente e ágil nas entregas das aplicações de negócios. Esse trabalho envolve controle de falhas, disponibilidade e desempenho dos sistemas.
Fazemos monitoramento do seu ambiente 24h por dia, 7 dias por semana, avaliando desempenho e disponibilidade de servidores, sistemas e ativos de rede.

Saiba Mais

Gestão Total com Neteye

Gestão TotalTenha domínio do seu negócio

Este é um produto muito interessante que oferecemos para a sua empresa. Tenha total controle de como seus recursos (hardware e software) estão sendo utilizados, quando suas licenças de software irão expirar, quando a garantia dos dispositivos irá terminar, tenha relatórios de produtividades de cada usuário da rede, acesse remotamente de forma transparente as estações de trabalho.

Saiba Mais

 

 

 

Inventário de Hardware e Software

InventárioHardware e Software

A Convectiva oferece o serviço de inventário de hardware e software para sua empresa. Com isso, o controle de seus equipamentos e softwares torna-se uma tarefa simples, garantindo o controle total das licenças de software para eventuais auditorias, controle de expiração de licenças e garantias para implementação de melhores práticas e informações para registros contábeis.

Saiba Mais

Wi-fi Corporativo

Wi-FiSeguro e com Qualidade

O Wi-fi Corporativo é reconhecido por apresentar recursos mais robustos do que os demais e possuir algumas características próprias, vantagens que normalmente ajudam na tomada de decisão quando uma empresa tem que optar por uma modalidade de rede sem fio mais eficiente.
Garantimos qualidade, cobertura, disponibilidade e segurança na sua rede Wi-Fi

Saiba Mais

Firewall

FirewallSeu ambinete Seguro

Através de modernos recursos de Firewall/UTM, incluindo Firewall, Proxy web, Prtal cativo, VPN etc, oferecemos visualização, em tempo real, de indicadores para gestão proativa da segurança digital corporativa, permitindo fazer priorização e balanceamento de links, monitoramento de consumo de banda, controle e restrição de acesso a conteúdos.

Saiba Mais

 

 

 

Backup

BackupProteção de dados

A Convectiva analisa o perfil dos seus clientes e elabora estratégias de proteção de dados que proporcionam eficiência, inteligência segurança e confiabilidade as operações de backup e recuperação, desenvolvendo desde sistemas simples de proteção local, até uma política corporativa com a implantação de plataformas de replicação entre sites.

Saiba Mais

Auditoria em Segurança da Informação

AuditoriaSegurança da Informação

Analisamos e implementamos ferramentas, processos e políticas necessárias para prevenir, detectar, documentar e agir contra ameaças à informação visando impedir que qualquer dano seja causado aos dados da organização.
Nosso trabalho é analisar esse conjunto de fatores para garantir que seu ambiente está seguro e protegido.

Saiba Mais

Cabeamento Estruturado e Fibra óptica

CablingCabeamento Estruturado

Experiência em projetos e implantação de redes físicas e lógicas de diversos portes, fazendo reestruturação, implementação e organização de redes de fibra óptica e cabeamento estruturado cobrindo toda infraestrutura civil, física e lógica com certificação.
Também fazemos configuração de switches, montagem de rack's e DG's.

Saiba Mais

Fale com a Convectiva



Utilize o formulário ao lado para falar conosco via chat, voz ou vídeo.


Ou se preferir, envie um e-mail para contato@convectiva.com
Nossos telefones são:
(16) 3706-9795
(16) 99315-0694