A empresa de segurança cibernética Cyfirma identificou dois apps disponíveis na Google Play Store que trazem malware integrado, sendo capazes de espionar o usuário e extrair dados do celular. O grupo de cibercriminosos indianos DoNot estaria por trás da campanha maliciosa, conforme relatório divulgado na segunda-feira (19).
Os apps em questão são o nSure Chat, que oferece mensagens criptografadas de ponta a ponta, e iKhfaa VPN, com rede virtual privada. Conforme os especialistas, ambos são capazes de executar atividade maliciosa em segundo plano, após instalação em um smartphone Android.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
Entre os problemas encontrados, estão as permissões para acessar a localização do dispositivo e a lista de contatos, solicitadas pelos softwares. No app de VPN, o usuário é induzido a ativar a localização em tempo real do aparelho, mas em caso de negativa o arquivo malicioso procura pelo último registro conhecido.
Leia mais: Google corrige bug no Android que mostrava microfone ativo no WhatsApp
App iKhfaa VPN solicita dados de localização ao ser instalado.Fonte: Cyfirma/Reprodução
Todos os dados coletados pelo app espião são armazenados localmente e depois enviados a um servidor remoto operado pelo grupo também conhecido como APT-C-35. De acordo com o relatório, os alvos da ação, que pode ser patrocinada pelo governo ou organizações militares, estariam no Sul da Ásia — há relatos de ataques no Paquistão.
Exclua os apps agora mesmo
Os apps de mensagens e VPN para Android infectados pelo malware continuam disponíveis na Play Store. Eles contam com um baixo número de downloads, até o momento, o que sugere que a campanha esteja sendo direcionada a alvos específicos.
Apesar disso, é recomendável excluir tais aplicativos imediatamente, caso tenha algum deles instalado em seu celular, independente do país em que resida. Os programas são desenvolvidos pela SecurITY Industry, que tem ainda um terceiro app na loja do Android, intitulado Device Basic Plus, aparentemente sem ligação com os ataques cibernéticos.
Fontes