• Uma versão modificada do aplicativo de mensagens Telegram foi considerada maliciosa pelos pesquisadores da Check Point Software
• O malware dentro do aplicativo malicioso pode
inscrever a vítima em várias assinaturas pagas, realizar compras no aplicativo
e roubar credenciais de login
A equipe de pesquisas Check Point Mobile Research da Check
Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de
soluções de cibersegurança global, descobriu recentemente uma versão modificada
do aplicativo Telegram Messenger para Android. O aplicativo malicioso foi
detectado e bloqueado pela solução Check Point Harmony Mobile. Apesar de
parecer inocente, esta versão modificada é incorporada com código malicioso
vinculado ao trojan Triada. Este cavalo de Troia, o Triada,
que foi detectado pela primeira vez em 2016, é um backdoor modular para Android
que concede privilégios de administrador para baixar outro malware.
Versões modificadas de aplicativos móveis são muito
comuns no mundo móvel. Esses aplicativos podem oferecer recursos e
personalizações extras, preços reduzidos ou estar disponíveis em uma variedade
maior de países em comparação com o aplicativo original. Sua oferta pode ser
atraente o suficiente para atrair usuários ingênuos a instalá-los por meio de
lojas de aplicativos externos não oficiais.
O risco de instalar versões modificadas vem do fato
de que é impossível para o usuário saber quais alterações foram realmente
feitas no código do aplicativo, ou seja, não se sabe qual código foi adicionado
e se ele tem alguma intenção maliciosa.
Telegram 9.2.1 - Modificado com trojan Triada
O disfarce perfeito
O malware se disfarça como Telegram Messenger
versão 9.2.1. Ele tem o mesmo nome de pacote (org[.]telegram[.]messenger) e o
mesmo ícone do aplicativo Telegram original. Ao ser acionado, o usuário é
apresentado à tela de autenticação do Telegram em que é solicitado inserir o
número de telefone do dispositivo e a conceder permissões de telefone ao
aplicativo.
Esse fluxo parece o processo de autenticação real
do aplicativo Telegram Messenger original. O usuário não tem motivos para
suspeitar que algo fora do comum esteja acontecendo no dispositivo.
|
|
|
|
|
|
|
|
|
|
|
|
O malware se disfarça como o aplicativo Telegram
Messenger
Por trás das cenas
A análise estática dos aplicativos mostra que, ao
iniciar o aplicativo, um código de malware é executado em segundo plano,
disfarçado como um serviço interno de atualização de aplicativos.
O malware coleta informações do dispositivo,
configura um canal de comunicação, baixa um arquivo de configuração e aguarda
para receber a carga útil (payload) do servidor remoto.
Uma vez que a carga é descriptografada e iniciada,
o Triada ganha privilégios de sistema, os quais permitem que ele se injete em
outros processos e execute muitas ações maliciosas.
Pesquisas anteriores realizadas nas cargas úteis do
Triada apresentaram as diversas habilidades maliciosas deste malware. Isso
inclui inscrever o usuário em várias assinaturas pagas, realizar compras no
aplicativo usando o SMS e o número de telefone do usuário, exibir anúncios
(incluindo anúncios invisíveis executados em segundo plano) e roubar
credenciais e dados de login e outras informações do usuário e do dispositivo.
Como proteger o dispositivo contra malwares
. Sempre baixe seus aplicativos de fontes
confiáveis, sejam sites oficiais ou lojas e repositórios oficiais de
aplicativos.
. Verifique quem é o autor e criador do aplicativo
antes de fazer o download. Você pode ler comentários e reações de usuários
anteriores antes de fazer o download.
. Atenção às permissões solicitadas pelo aplicativo
instalado e se elas são realmente necessárias para a funcionalidade do
aplicativo real.
O produto Check Point Harmony Mobile™ proporciona
proteção completa e evita que malwares se infiltrem nos dispositivos,
detectando e bloqueando o download de aplicativos maliciosos em tempo real.
Além disso, o Check Point Harmony Mobile oferece uma ampla gama de recursos de
segurança de rede; e garante que os dispositivos não sejam expostos a
comprometimento com avaliações de risco em tempo real, detectando ataques,
vulnerabilidades, alterações de configuração e rooting (nome dado a uma
conta de usuário especial, ou super usuário ou administrador) e jailbreak
(processo de exploração de falhas de um dispositivo) avançados.
Nenhum comentário:
Postar um comentário