Análise de APPs relacionados a COVID19 usando Tacyt (II)

Continuamos com a pesquisa iniciada no post anterior em que analisamos esse tipo de aplicação com nossa ferramenta Tacyt . Em relação ao aplicativo analisado, podemos perceber que uma rápida olhada nas permissões no Tacyt já deixa claro que não se trata de um APP convencional: permissões de chamadas, contas, SMS, eliminação de processos, NFC, gravar áudio e um longo etc.

Tudo isso é muito mais típico de um APP malicioso do que de um APP legítimo, qualquer que seja sua funcionalidade. As probabilidades de que seja um cavalo de Tróia em execução em segundo plano para acessar informações confidenciais geradas através do dispositivo móvel são, portanto, altas.

As seguintes permissões que o APP precisa para ser executado no terminal se destacam como críticas:

• android.permission.CALL_PHONE – Permite que um aplicativo inicie uma chamada telefônica sem passar pela IU do discador para o usuário confirmar a chamada.
• android.permission.INTERNET – Permite que aplicativos abram conexões de rede.
• android.permission.NFC – Permite que aplicativos executem operações de I / O por meio de NFC.
• android.permission.READ_CONTACTS – Permite a um aplicativo ler os dados de contato do usuário.
• android.permission.READ_PHONE_STATE – Permite acesso somente leitura ao status do telefone, incluindo informações atuais da rede celular, status da chamada e uma lista de todas as contas de telefone registradas no dispositivo.
• android.permission.READ_SMS – Permite a um aplicativo ler mensagens SMS.
• android.permission.RECEIVE_SMS – Permite que um aplicativo receba mensagens SMS.
• android.permission.RECORD_AUDIO – Permite a um aplicativo gravar áudio.
• android.permission.SEND_SMS – Permite que um aplicativo envie mensagens SMS.

Após a instalação do APP em um dispositivo Android, observa-se que ele só faz conexões com o endereço IPv4 149.154.167.99 no protocolo HTTPS.

Também podemos ver que o endereço IP anterior corresponde a um dos servidores do Telegram encarregados de gerenciar os bots para se comunicarem por este meio.

Após descompilar e analisar o código do APP malicioso, vemos que ele usa técnicas de ofuscação para tentar evitar a detecção por mecanismos antimalware existentes ou pelos mecanismos de proteção presentes nos dispositivos móveis atuais. O APP usa SQLite para armazenar localmente as informações confidenciais que obtém do dispositivo da vítima onde está instalado e, presumivelmente, para cada vítima, envia um aviso para um bot do Telegram.

Além disso, é muito provável que todas as informações que o APP malicioso coleta de cada uma de suas vítimas, como mensagens de áudio, buscas realizadas com o navegador em busca de parâmetros ou cookies de sessão, informações obtidas através da webcam , etc., é armazenado localmente em um banco de dados SQLite para despejo posterior em um servidor centralizado controlado pelo cibercriminoso.

Com essas claras indicações, já é possível verificar que muitos mecanismos antimalware identificam o APP como malicioso , detectando especificamente o famoso Trojan Cerberus, que permite o controle total do sistema. Os atacantes mais uma vez disfarçaram o Trojan com um tema marcante e relevante para o momento, tentando maximizar os downloads.

Conclusão

Como em tantas outras ocasiões e aproveitando as repercussões e incertezas geradas pela pandemia COVID-19, muitos aplicativos maliciosos estão usando técnicas de engenharia social para controlar dispositivos por meio de cavalos de Tróia tradicionais. Podemos apenas recomendar o download apenas de aplicativos de fontes oficiais para evitar problemas de segurança e privacidade.