Hackers espalharam mais de mil aplicativos com capacidade de espionar as pessoas nas lojas virtuais de Android —incluindo a loja oficial do Google. A descoberta foi feita por pesquisadores da empresa de segurança Lookout, que encontraram apps capazes de monitorar quase todas as funções dos dispositivos infectados.
O malware encontrado, apelidado de SonicSpy, pode gravar ligações, áudios, tirar fotos, enviar mensagens, fazer ligações para números específicos e coletar informações de contato e localização. Ao todo, o spyware consegue fazer 73 ações diferentes no aparelho, rastreando praticamente todos os movimentos do usuário.
Especialistas suspeitam que a ameaça, anunciada nas lojas virtuais como aplicativo de mensagens, é obra de hackers iraquianos. O app desempenha sua função mensagens normalmente para não levantar suspeitas, mas ele opera em segundo plano roubando e transferindo dados para um servidor de controle.
Os pesquisadores descobriram o SonicSpy depois de encontrarem três versões dele em aplicativos de mensagem da Google Play Store. Depois disso, o Google removeu os apps “soniac”, “hulk messenger” e “troy chat” de sua loja, mas eles permanecem em lojas não oficiais para Android. Antes da remoção, o “soniac” já tinha sido baixado mais de mil vezes só na Google Play.
Contaminação. Quando baixado por meio da Google Play, o Sonic Spy se esconde do usuário e remove o seu ícone do menu inicial do smartphone. Depois, ele se conecta a um servidor de comando e controle e tenta fazer download de uma versão modificada do aplicativo de mensagens Telegram.
O app adulterado contém recursos que permitem que os hackers obtenham controle sobre o dispositivo. Ainda não está claro, no entanto, se os ladrões estão segmentando um grupo específico de usuários ou se eles estão tentando conseguir qualquer informação possível de quem baixar o malware.
Em entrevista ao site americano ZDNet, o líder de pesquisa da Lookout, Michael Flossman, disse que quem está por trás do malware pode estar buscando informações confidenciais, já que os hackers têm desenvolvido aplicativos de mensagens criptografadas.
Semelhanças. Os pesquisadores analisaram amostras do SonicSpy e descobriram que ele se parece com um spyware chamado Spynote, descoberto no meio do ano passado. Ambos compartilham o código, usam a porta 2222 não-padrão e serviços DNS dinâmicos, o que levou a Lookout a sugerir que as duas famílias de malwares foram construídas pela mesma operação hacker.
Como a conta responsável pelos aplicativos é chamada de “Iraqwebservice”, os pesquisadores acreditam que a campanha teve origem no Iraque.
9 serviços para garantir sua privacidade na web
Telegram
Aplicativo de mensagens instantâneas, o Telegram é bastante utilizado por usuários que precisam de privacidade por seu protocolo de criptografia segur... Foto: ReutersMais
