Investigadores da Bitdefender identificaram uma recente framework android que pode ser usada para criar spyware. Ela foi identificada como Triout e apareceu pela primeira vez em 15 de maio.
Os investigadores revelaram que o servidor command and control (C&C) está a rodar desde maio 2018, e na altura da divulgação desta notícia ele continua em cima e a rodar.
A 15 de maio o Triout foi pela primeira vez submetido no VirusTotal. Muitos samples foram submetidos da Russia, embora mais recentemente de Israel.
Este malware foi difundido rapidamente via third-party maketplaces e dominíos controlados pelos ciberatacantes.
“Discovered by Bitdefender’s machine learning algorithms on 20.07.2018, the sample’s first appearance seems to be 15.05.2018, when it was uploaded to VirusTotal. The application seems to be a repackaged version of “com.xapps.SexGameForAdults” (MD5: 51df2597faa3fce38a4c5ae024f97b1c) and the tainted .apk fi le is named 208822308.apk.” reads the report published by Bitdefender.
“The original app seems to have been available in Google Play in 2016, but it has since been removed. While it’s unclear how the tainted sample is being disseminated, third-party marketplaces or some other attacker-controlled domains are likely used to host the sample.”
A Bitdefender apontou que a amostra analisada foi ofuscada uma circunstância que leva os especialistas a acreditar que a estrutura pode ser um trabalho em progresso.
“This could suggest the framework may be a work-in-progress, with developers testing features and compatibility with devices,” continues the report.
O spyware Triout foi identificado depois de analisar um aplicativo corrompido e que mantinha todos os recursos no seu estado natural. O exemplo analisado pela Bitdefender foi uma versão reempacotada de uma aplicação para adultos que estava listada no Google Play desde 2016, mas removida imediatamente após a deteção da infeção.
A Triout implementa amplos recursos de vigilância, incluindo:
- Records every phone call (literally the conversation as a media fi le), then sends it together with the caller id to the C&C (incall3.php and outcall3.php)
- logs every incoming SMS message (SMS body and SMS sender) to C&C (script3.php)
- Has capability to hide self
- Can send all call logs (“content://call_log/calls”, info: callname, callnum, calldate, calltype, callduration) to C&C (calllog. php)
- Whenever the user snaps a picture, either with the front or rear camera, it gets sent to the C&C (uppc.php, fi npic.php or reqpic.php)
- Can send GPS coordinates to C&C (gps3.php)
Para mais detalhes técnicos p.f., desfrute do relatório publicado pela Bitdefender.