Uma nova aplicação maliciosa foi identificada no Google Play. A aplicação tem o nome de Dardesh, era usada como chat de conversação e atuava como um “dropper” para uma segunda aplicação que espionava os utilizadores.

A aplicação maliciosa foi descoberta e analisada por investigadores da Lookout, e que apelidaram a família de malware de Desert Scorpion.

dardesh-gp

Como foi disseminada a aplicação na comunidade?

A aplicação maliciosa foi aparentemente descarregada e instalada  por mais de 100 utilizadores, após ter sido promovida através de um perfil do Facebook de longa duração e que partilhou o link para a aplicação disponível no Google Play.

dardesh-fb

 

Uma vez instalada, a aplicação “descarrega” uma segunda app que se disfarçava como uma app genérica de “configurações”, capaz de efetuar o tracking da localização do dispositivo, gravar chamadas, vídeo e áudio, recuperar ficheiros encontrados no armazenamento externo e enviá-los para um servidor C & C. , recuperar mensagens de texto, contatos e informações da conta, desinstalar aplicações e muito mais — uma autentica besta oriunda da mais avançada engenharia de malware para smartphones!

“The surveillance functionality of Desert Scorpion resides in a second stage payload that can only be downloaded if the victim has downloaded, installed, and interacted with the first-stage chat application,” the researchers pointed out.

 

O Google removeu o aplicativo do Google Play no início deste mês e tomou medidas atravésdo pacote de segurança Play Protect, que avisa os utilizadores sobre as aplicações maliciosas ou até mesmo removê-las dos próprios dispositivos.

 

Quem será o responsável por este esquema malicioso?

Investigadores da Lookout acreditam que um grupo de ameaças apelidado de APT-C-23 pode estar por trás deste esquema malicioso.

“Our current analysis strongly suggests Desert Scorpion is being deployed in targeted attacks against Middle Eastern individuals of interest specifically those in Palestine and has also been highlighted by other researchers,” they noted.

 

O perfil do Facebook que partilhou o link é o mesmo que partilhou anteriormente links do Google Drive para o malware Android pertencente à família FrozenCell atribuído ao APT-C-23. Além disso, a infraestrutura de C & C usada pela Frozen Cell e pela Desert Scorpion reside em blocos de IP semelhantes, o que suporta a teoria de que o mesmo ator é responsável por operar ambas as famílias.

“The approach of separating malicious functionality out into separate stages that are later downloaded during execution and not present in the initial app published to the Google Play Store, combined with social engineering delivered via social media platforms like Facebook, requires minimal investment in comparison to premium tooling like Pegasus or FinFisher,” the researchers pointed out.

“Even sophisticated actors are using lower cost, less technologically impressive means like phishing to spread their malware because it’s cheap and very effective, especially on mobile devices where there are more ways to interact with a victim (messaging apps, social media apps, etc.), and less screen real estate for victims to identify potential indicators of a threat.”

 

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *