Home - Internet - MobOk: poderoso malware de desvio de dinheiro conhecido foi encontrado escondido em aplicativos de edição de fotos do Google Play Store

MobOk: poderoso malware de desvio de dinheiro conhecido foi encontrado escondido em aplicativos de edição de fotos do Google Play Store

Um poderoso malware de desvio de dinheiro conhecido como MobOk foi encontrado escondido em aplicativos de edição de fotos aparentemente legítimos disponíveis na Google Play Store.

Os aplicativos Pink Camera e Pink Camera 2, agora removidos, foram instalados por volta de 10.000 vezes, de acordo com pesquisadores da Kaspersky. Eles incluíam uma funcionalidade de edição de fotos genuína (embora limitada), mas também vinham com um backdoor altamente perigoso que poderia oferecer ao invasor um controle quase completo sobre um dispositivo infectado.

“Os aplicativos foram projetados para roubar dados pessoais de vítimas e usar essas informações para assiná-los em serviços de assinatura pagos”, explicou o pesquisador da Kaspersky, Igor Golovin, em uma postagem na quinta-feira. “Assim que os usuários começaram a editar suas fotos usando os aplicativos Pink Camera, os aplicativos solicitaram acesso a notificações, que iniciaram a atividade maliciosa em segundo plano. Uma vez que a vítima foi infectada, o malware MobOk coletou informações do dispositivo, como o número de telefone associado, para explorar essas informações em fases posteriores do ataque.”

Os aplicativos também solicitaram acesso a controles e notificações de Wi-Fi – e continuaram perguntando até que o usuário dissesse “sim”. Em seguida, enquanto a vítima manipulava uma foto, o aplicativo coletava informações em segundo plano sobre o dispositivo e as enviava ao comando -e-controle (C2).

Nos últimos estágios de ataque, o MobOk desativou o Wi-Fi no telefone do usuário, ativando assim dados móveis para conectividade. A partir daí, os atacantes assinaram a vítima por serviços de assinatura on-line pagos que eles tinham de fato configurados. As cobranças são feitas diretamente na conta de telefone de um usuário, e não em um cartão de crédito ou débito – um modelo que é rotineiramente usado por cibercriminosos, disse Golovin.

“O malware abriu as páginas do serviço de assinatura, agindo como um navegador de segundo plano secreto”, explicou ele. “Usando o número de telefone previamente extraído, o malware inseriu-o no campo ‘inscrever-se’ e confirmou a compra. Como tinha controle total sobre o dispositivo e era capaz de verificar as notificações, o malware digitaria o código de confirmação do SMS quando aparecesse – tudo sem alertar o usuário ”.

Além disso, se a página de assinatura fosse protegida por CAPTCHA , o aplicativo usava o serviço de reconhecimento de imagem chaojiying [.], Que insere automaticamente o resultado no campo relevante da página.

De lá, os atacantes sentaram-se e recolheram o dinheiro, até que a vítima viu os pagamentos na conta telefônica e cancelou a assinatura do serviço ofensivo.

“A capacidade de edição de fotos das Pink Cameras não era muito impressionante, mas o que eles poderiam fazer nos bastidores era notável: inscrever pessoas em serviços maliciosos e drenadores de dinheiro em russo, inglês e tailandês; monitoramento de SMS; e solicitando reconhecimento CAPTCHA de serviços on-line “, disse Golovin. “Isso significa que eles também tinham o potencial de roubar dinheiro das contas bancárias das vítimas.

Nossa teoria é que os invasores por trás desses aplicativos criaram tanto os serviços de assinatura, nem todos genuínos, e os malwares que atraíram os assinantes, como os projetaram para atingir um público internacional. ”


Sobre Redação CenterDicas