Falsos apps para rastreamento de contatos da COVID-19 infectam smartphones

Não é novidade que os cibercriminosos usem a pandemia de Coronavírus (COVID-19) para realizar golpes e ataques cibernéticos contra usuários e empresas. O pior é que mesmo hospitais e locais de teste também estão enfrentando as investidas dos cibercriminosos.

No caso mais recente, os pesquisadores de segurança de TI da Anomali, descobriram outro golpe em que os atacantes estão utilizando aplicativos falsos de rastreamento de contatos COVID-19, com o objetivo de infectar dispositivos Android. Estes apps maliciosos lançam spyware, cavalo de tróia e adware contra dispositivos-alvo em todo o mundo.

O que nos surpreende é que estes aplicativos falsos imitam os oficiais, criados pelos governos com o objetivo de rastrear os contatos da COVID-19. Segundo os pesquisadores, existem 12 aplicativos que enganam os usuários em cerca de 10 países, incluindo o Brasil, Armênia, Colômbia, Indonésia, Índia, Irã, Itália, Quirguistão, Rússia e Cingapura.

Os pesquisadores da Anomali alertaram que o ataque em curso descarta os payloads do Anubis e SpyNote. Para que você saiba, o Anubis é cavalo de tróia bancário para o Android, que visa os dados financeiros e pessoais das vítimas.

Em janeiro de 2019 foram encontrados dois aplicativos na Play Store infectados com o Anubis, utilizando comandos do sensor de movimento dos apps para disseminar sua infecção.

Por outro lado, o SpyNote (RAT, Remote-Access Trojan) foi identificado em agosto de 2016 em um fórum de hackers na darkweb. O cavalo de tróia não requer acesso root para assumir o controle total de um dispositivo infectado e visa os dados pessoais e financeiros dos usuários do Android.

Veja abaixo os países e nomes de aplicativos maliciosos compartilhados pela empresa Anomali:

Government Tracing AppOfficial Package NameMalicious Package NameDetection Name
Armeniaam.gov.covid19am.ac19.health*Trojan
Arrogyasetu (India)nic.goi.aarogyasetucom.android.testerSpynote
Brazilbr.gov.datasus.guardioeswocwvy.czyxoxmbauu.slsaAnubis
Chhattisgarhcom.mobcoder.govcthcmf0.c3b5bm90zq.patch*Trojan
Columbiaco.gov.ins.guardianesqmkeasedjeumxmgb.czmofiuouafiuwtmwonw.eeepqsunrbflk*Trojan
Indonesiacom.telkom.tracencarecmf0.c3b5bm90zq.patchSpynote
Iranir.covidapp.androidco.health.covid*Trojan
Italy (impersonating INPS)certificati.farma.droidynhsumknjtd.hphsefyntauykl.hauqklysedjjnukso*Trojan
Kyrgyzstankg.cdt.stopcovid19kg.cdt.stopcovid19*Adware
Russia – EMERCOMcom.minsvyaz.gosuslugi.stopcoronaanubis.bot.myapplicationAnubis
Singaporesg.gov.tech.bluetraceiiyyxasgfmaeph.jyefwosxdajh.ubempzgulrqdkcmjaplqrxeq*Trojan
Singaporesg.gov.tech.bluetracezfhxmtepnxyljw.wqnszljeb.bkolzgalth*Trojan
Aplicações maliciosas separadas por país

Detalhes Técnicos

Anubis

Principais funcionalidades

  • Acesso a mensagens SMS, localização, lista de contatos e informações de sistema;
  • Injeções personalizadas para uma ampla variedade de aplicativos bancários e de mídias sociais, para coletar informações confidenciais;
  • Esconde-se da lista de aplicativos instalados (App Drawer);
  • Gravação de tudo o que é digitado (Keylogging);
  • Permissões;
  • Gravação de ligações;
  • Uso de sobreposições para roubar credenciais (Veja mais).

Brasil

Configura abaixo dados deste trojan que está atuando no país:

Aplicativo legítimo – Coronavírus – SUS
Aplicativo malicioso – Coronavírus – SUS
Pacote malicioso – wocwvy.czyxoxmbauu.slsa
Amostra – ec70b3f8db8a66d353cc69704b4d7141 (Veja mais)

A Anomali encontrou um aplicativo malicioso hospedado em um site btc-chenger [.] Xyz que imita o aplicativo oficial de rastreamento da COVID-19 do governo brasileiro. A aplicativo malicioso imita o legítimo como um chamariz para as vítimas baixarem o malware.

Quando o aplicativo é iniciado pela primeira vez ele solicita o privilégio do serviço de acessibilidade, conforme mostrado na imagem abaixo:

Após o usuário ter habilitado as permissões, o aplicativo é executado em segundo plano e oculta o seu ícone da lista de aplicativos:

SpyNote

Principais funcionalidades:

  • Acesso as mensagens de SMS, Localização (GPS) e Contatos;
  • Número do telefone das vítimas;
  • Capturar fotos tiradas pela câmera;
  • Verificar histórico de navegação;
  • Verificar aplicativos instalados;
  • Informação do dispositivo;
  • Exfiltração de arquivos (Veja mais);
  • Aplicação instalada;
  • Ler ou escrever mensagens;
  • Ler ou alterar a lista de contatos;
  • Gravar ligações.

Indonésia

Confira abaixo dados do app que tem como foco a Indonésia:

Aplicação Legítima – PeduliLindungi
Aplicação Maliciosa –  PeduliLindungi
Pacote malicioso – cmf0.c3b5bm90zq.patch
Amostra – 0bc3d828e7ab270a8baab7a32633de0d

Ainda não é hora para desespero

A boa notícia é que esses apps ainda não chegaram ao Google Play mas não será uma surpresa se isso ocorrer. Por enquanto, sites de terceiros e lojas de aplicativos são os/as responsáveis pela disseminação bem-sucedida da campanha de ataque.

Os aplicativos maliciosos continuam imitando os oficiais para tirar proveito do reconhecimento da marca e da confiança percebida pelos aplicativos lançados pelas agências governamentais. O impacto da pandemia do COVID-19 torna o vírus um nome reconhecível e potencialmente indutor de medo, do qual os atacantes continuarão a tirar proveito.

Pesquisadores da Anomali

O que fazer para não ser infectado(a)?

Usuários do Android preocupados com a infecção pelo COVID-19 devem estar atentos a esses golpes. Em abril de 2020, os pesquisadores identificaram invasores que infectavam dispositivos Android e iOS com spyware distribuídos por aplicativos intitulados “Atualizações do Coronavírus”.

É recomendável não baixar aplicativos de lojas de aplicativos de terceiros e também evitar o download de aplicativos desnecessários da Google Play Store. Além disso, use um antivirus confiável, verifique seu dispositivo regularmente em busca de ameaças e mantenha o sistema operacional atualizado.

Se deseja saber maiores detalhes sobre esta ameaça, bem como das crescentes ameaças contra smartphones e como se manter protegido(a), acesse este link.

Fontes:

Fake govt-issued COVID-19 contact tracing apps spread spyware (Hackread)

Anomali Threat Research Identifies Fake COVID-19 Contact Tracing Apps Used to Download Malware that Monitors Devices, Steals Personal Data (Anomali)

Avatar

O Analista

https://www.oanalista.info

Adoro letras verdes sob um fundo preto...