Falso aplicativo Android é usado ​​para espionar cidadãos iranianos

Imagem: Shutterstock

Por Leandro Rocha

As empresas vpnMentor e ClearSky divulgaram, no último dia 20 de março, detalhes sobre uma campanha de espionagem contra cidadãos do Irã. O malware utilizado nesta campanha infecta usuários da plataforma Android por meio de uma versão falsificada de um aplicativo de VPN chamado Psiphon.

Após protestos contra a instabilidade econômica e a censura do governo iraniano em dezembro de 2017, o governo de Hassan Rouhani, em uma tentativa de impedir que os manifestantes se organizassem e ampliassem os protestos, restringiu o uso da Internet no país, bloqueando sites populares e aplicativos de mídia social como Twitter e o aplicativo de mensagens Telegram.

Em contrapartida, muitos cidadãos buscaram novos meios de acesso com o objetivo de contornar as restrições impostas pelo governo; uma das alternativas encontradas foi o uso do aplicativo Psiphon — software de código aberto que, por meio de VPN (Virtual Private Network), viabiliza o acesso a websites censurados e serviços bloqueados.

Durante os protestos de dezembro, o desenvolvedor do aplicativo Psiphon, Irv Simpson, afirmou à Motherboard: “(…) a Psiphon viu um número de downloads e uso de aplicativos sem precedentes em nossa rede, em todas as plataformas, no Irã”.

Segundo Simpson, a média de downloads em todas as plataformas (Android, Windows e iOS) era de 40 mil downloads diários; durante os protestos no Irã, este número subiu para 70 mil downloads. O desenvolvedor estimou que no mesmo período, o número de usuários do aplicativo no Irã chegou a 10 milhões.

Em janeiro deste ano a ClearSky recebeu reclamações de cidadãos iranianos acusando o recebimento de mensagens de texto suspeitas oferecendo um aplicativo de VPN para desbloquear o acesso ao Telegram. Após investigações, a ClearSky descobriu que o aplicativo era um software malicioso para Android chamado “Ir.ops.breacker”, o qual usava características visuais (nome e logo) semelhantes às do aplicativo de VPN Psiphon para estimular as vítimas a baixarem o malware.

A mensagem recebida pelos iranianos dizia: “Olá — faça o download desta VPN para se conectar facilmente com o Telegram”; a mensagem trazia também um link para o download do falso aplicativo.

Ao ser instalado, o software malicioso solicita permissões de acesso a diversos recursos do celular da vítima, os quais passam a ser usados para espionar as atividades dos usuários, estabelecer a comunicação entre o malware e o servidor de comando e controle (C&C) além de viabilizar a disseminação do aplicativo malicioso.

Para se propagar, o malware utiliza o acesso concedido à lista de contatos do dispositivo e ao envio de SMS para disparar mensagens de texto ocultas com conteúdo malicioso para todos os contatos do usuário.

Quando o usuário abre o aplicativo malicioso pela primeira vez, ele recebe uma mensagem de erro solicitando que o aplicativo seja fechado e aberto novamente; em seguida, ao reabrir o aplicativo, a vítima recebe outra mensagem de erro dizendo que o aplicativo não foi instalado corretamente e que precisa ser reinstalado através da Google Play Store. Uma terceira mensagem aparece informando ao usuário de que o aplicativo foi excluído do dispositivo, no entanto, o aplicativo malicioso permanece em execução em segundo plano.

As empresas envolvidas na investigação não conseguiram determinar o agente malicioso responsável por esta campanha, mas classificaram o malware como muito sofisticado.

Atualmente 23 antivírus detectam o malware; no início da pesquisa, porém, apenas seis eram capazes de identificá-lo, o que reforça o cuidado que todos os usuários devem ter com mensagens recomendando a instalação de aplicativos, mesmo quando o nome do aplicativo é conhecido e a mensagem venha de fonte confiável.

Para empresas, vale a ressaltar a importância do trabalho de conscientização e educação dos usuários contra os mais diversos tipos de mensagens maliciosas, que incluem além dos phishing tradicionais, os smishing (sms phishing), técnica usada nesta campanha de espionagem.

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.