Reading Time: 2 minutes
Malware android chega aos dispositivos alvo via ficheiros PDF. 

A tarefa é simples e o esquema é o habitual. Uma campanha mal-intencionada recentemente identificada  entrega documentos PDF como anexo através de mensagens de phishing.

Os utilizadores ao abrirem os ficheiros PDF maliciosos, descarregam automaticamente um ficheiro executável do Android que é executado em segundo plano e que tem a capacidade de se tornar persistente no sistema infetado.

Os PDFs utilizam várias truques para enganar as vítimas, como p.ex: “Para abrir este documento, atualizar o Adobe Reader” ou “Para desbloquear este documento, pressione o botão abaixo”.

pdf

 

No momento em que a vítima finalmente executa a atividade de clique solicitada nesse documento, um ficheiro malicioso APK (executável do Android) é descarregado de um link que estava presente naquele PDF, e que supostamente faria o download do Adobe Reader original.

The PDFs utilize various ways such as “To open this document, update the adobe reader” or “To unlock this document press below button” to grab the user’s attention. At the point when the user finally perform the requested click activity on that document, a malevolent APK (Android executable) file is downloaded from a link that was present in that PDF, which further downloads original Adobe Reader.

screens

 

Esse malware também tem a capacidade de recolher os contatos a partir do device, mensagens, os bookmarks do navegador e  passwords guardadas, além de inibir os processos a rodar em segundo plano no SO.

O malware deteta se o device está no contexto de um utilizador root, ou não, procede a recolha de nformações sobre os dados de longitude e latitude do dispositivo enquanto faz o track das notificações de SMS e estado de chamadas. Todas as informações são enviadas para os servidores C2 controlados pelos invasores.

flow

 

Mais uma vez a causa raiz deste tipo de ataques é o phishing e o spam, ambos endereçados via email.

Portanto, é recomendável que os utilizadores se abstenham de descarregar aplicações de marketplaces não autenticos e de terceiros ou links e outras conexões partilhadas via SMSs (smashing) ou e-mails.

Além disso, evite abrir e-mails e anexos de fontes desconhecidas e mantenha as ‘Unknown Sources’ desativas no seu dispositivo. A ativação dessa opção permite a instalação de determinadas apps a partir de fontes desconhecidas, e não lhe é apresentada qualquer notificação que, pelo menos, o faça questionar se essa ação é a mais acertada.

Tome atenção a todas as permissões solicitadas pela app durante a sua instalação. P.ex., uma aplicação para leitura de PDFs não necessitará em condições normais de permissões para aceder aos seus contactos.

permissions

 

Seja prodente na utilização da tecnologia e lembre-se que as pessoas são o elo mais fraco do ecossistema.