A tarefa é simples e o esquema é o habitual. Uma campanha mal-intencionada recentemente identificada entrega documentos PDF como anexo através de mensagens de phishing.
Os utilizadores ao abrirem os ficheiros PDF maliciosos, descarregam automaticamente um ficheiro executável do Android que é executado em segundo plano e que tem a capacidade de se tornar persistente no sistema infetado.
Os PDFs utilizam várias truques para enganar as vítimas, como p.ex: “Para abrir este documento, atualizar o Adobe Reader” ou “Para desbloquear este documento, pressione o botão abaixo”.
No momento em que a vítima finalmente executa a atividade de clique solicitada nesse documento, um ficheiro malicioso APK (executável do Android) é descarregado de um link que estava presente naquele PDF, e que supostamente faria o download do Adobe Reader original.
The PDFs utilize various ways such as “To open this document, update the adobe reader” or “To unlock this document press below button” to grab the user’s attention. At the point when the user finally perform the requested click activity on that document, a malevolent APK (Android executable) file is downloaded from a link that was present in that PDF, which further downloads original Adobe Reader.
Esse malware também tem a capacidade de recolher os contatos a partir do device, mensagens, os bookmarks do navegador e passwords guardadas, além de inibir os processos a rodar em segundo plano no SO.
O malware deteta se o device está no contexto de um utilizador root, ou não, procede a recolha de nformações sobre os dados de longitude e latitude do dispositivo enquanto faz o track das notificações de SMS e estado de chamadas. Todas as informações são enviadas para os servidores C2 controlados pelos invasores.
Mais uma vez a causa raiz deste tipo de ataques é o phishing e o spam, ambos endereçados via email.
Portanto, é recomendável que os utilizadores se abstenham de descarregar aplicações de marketplaces não autenticos e de terceiros ou links e outras conexões partilhadas via SMSs (smashing) ou e-mails.
Além disso, evite abrir e-mails e anexos de fontes desconhecidas e mantenha as ‘Unknown Sources’ desativas no seu dispositivo. A ativação dessa opção permite a instalação de determinadas apps a partir de fontes desconhecidas, e não lhe é apresentada qualquer notificação que, pelo menos, o faça questionar se essa ação é a mais acertada.
Tome atenção a todas as permissões solicitadas pela app durante a sua instalação. P.ex., uma aplicação para leitura de PDFs não necessitará em condições normais de permissões para aceder aos seus contactos.
Seja prodente na utilização da tecnologia e lembre-se que as pessoas são o elo mais fraco do ecossistema.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.