Novo malware tem a capacidade de tomar controle sem acesso root

Descoberto novo malware MONOKLE tem a capacidade de tomar por completo o controle do dispositivo móvel sem acesso root. Uma ferramenta de espionagem de equipamentos móveis nunca antes divulgada, um trojan de acesso remoto (RAT) para Android chamado Monokle, foi descoberta usando novas técnicas para exfiltrar dados.

A Lookout descobriu uma ameaça de malware móvel altamente segmentada que usa um novo e sofisticado conjunto de ferramentas personalizada de vigilância do Android , chamado Monokle que tem possíveis conexões com os agentes de ameaças russos. A Pesquisa indica que essas ferramentas fazem parte de um conjunto de campanhas direcionadas e são desenvolvidas pela empresa Special Technology Centre, Ltd. (STC, Ltd. or STC). sediada em São Petersburgo, Rússia.

A STC é uma empresa privada de defesa conhecida pela produção de veículos aéreos não tripulados (UAVs) e equipamentos de radiofrequência (RF) para fornecimento aos militares russos, bem como a outros clientes governamentais. STC opera em São Petersburgo desde 2000 e tem aproximadamente 1500 funcionários.

Sgundo a Lookout, o Monokle, desenvolvido pela STC, é um avançado dispositivo de vigilância móvel que compromete a privacidade de um usuário ao roubar dados pessoais. dados armazenados em um dispositivo infectado e exfiltrando essas informações para uma infraestrutura. de C&C (Comando e Controle).

Enquanto a maioria de suas funcionalidades é típica de um dispositivo de vigilância móvel, Monokle é único na medida em que utiliza métodos existentes de novas maneiras, a fim de ser extremamente eficaz na extração de dados, mesmo sem acesso root.

Entre outras coisas, Monokle faz uso extensivo do Serviços de acessibilidade do Android para exfiltrar dados de aplicativos de terceiros e usa dicionários de texto preditivo para obter uma noção dos tópicos de interesse do alvo.

Monokle também tentará gravar a tela durante um evento de desbloqueio de tela, de modo a comprometer o PIN, padrão ou senha de um usuário.

“Embora a maior parte de sua funcionalidade seja típica de um dispositivo de vigilância móvel, o Monokle é único, pois utiliza métodos existentes de maneiras inovadoras para ser extremamente eficaz na extração de dados, mesmo sem acesso root”, de acordo com um relatório divulgado na quarta, dia 24 de julho . “Entre outras coisas, a Monokle faz uso extensivo dos serviços de acessibilidade do Android para exfiltrar dados de aplicativos de terceiros e usa dicionários de texto preditivo para ter uma noção dos tópicos de interesse de um alvo. O Monokle também tentará gravar a tela durante um evento de desbloqueio de tela, de modo a comprometer o PIN, o padrão ou a senha de um usuário. ”

O Monokle aparece em um conjunto muito limitado de aplicativos, o que significa que ataques usando o Monokle são altamente direcionados. Muitos desses os aplicativos são trojanizados e incluem funcionalidade legítima, portanto, a suspeita do usuário não é despertada. Dados da monitoração da empresa Lookout indicam que esta ferramenta ainda está sendo ativamente utilizada.

A Lookout vincula o STC ao Monokle porque ele também descobriu que o STC vem desenvolvendo um conjunto de segurança de aplicações Androids, incluindo uma solução antivírus, que compartilham infraestrutura com Monokle, entre outros links que estão detalhados no relatório “Monokle –
The Mobile Surveillance Tooling of the Special Technology Center“. Esses aplicativos foram desenvolvidos “para um cliente do governo”, de acordo com um desenvolvedor do STC.

No relatório a Lookout fornece uma lista de mais de 80 indicadores de comprometimento (IOCs) que permitiriam as soluções de segurança cibernética para proteger seus clientes contra essa ameaça.

Funcionalidades

Sobre a assinatura automática, o ThreatPost diz que, com acesso root, a Monokle é capaz de instalar certificados adicionais especificados pelo invasor como se fosse certificados confiáveis em um dispositivo infectado, “abrindo efetivamente o alvo e o dispositivo para ataques man-in-the-middle (MITM) e contra o tráfego TLS ”, escreveram os pesquisadores.

Para fazer isso, ele remonta a partição do sistema para instalar o certificado especificado pelo invasor em / system / etc / security / cacerts /.

O ThreatPost relata que malware utiliza outras funcionalidades que incluem uma variedades de truques clássicos de spyware, como a capacidade de coletar informações de contatos e calendários, gravar áudio e chamadas, recuperar e-mails e mensagens (inclusive do WhatsApp, Skype e outros), tirar fotos e gravar vídeos, rastrear a localização do dispositivo e screenshots. o Monkle inclui ainda recursos de keylogging, recuperação de históricos de navegação e chamadas, interação com aplicativos de escritório populares para recuperar texto do documento, fazer chamadas e enviar mensagens de texto, impressão digital de dispositivos, recuperar contas e senhas associadas e gravações de tela.

Ele também pode excluir arquivos arbitrários e baixar novos arquivos, reinicializar um dispositivo e executar código de shell arbitrário. E também pode detectar o raiz que foi usado ao armazenar a senha de um usuário em repouso, permitindo a recuperação de texto simples da senha de um usuário ou código PIN; e, além disso, pode redefinir o código PIN de um usuário.

Os aplicativos cliente podem ser controlados por mensagens SMS, conexões TCP de entrada a um encadeamento de escuta, conexões TCP de saída abrindo a possibilidade de uma taque C&C (Comando e Controle), troca de mensagens de e-mail por meio de POP3 e SMTP e chamadas telefônicas de entrada. O tráfego de saída parece sempre ser tunelado por TLS nas amostras de aplicativos mais recentes, de acordo com a Lookout.

Ou seja, em outras palavras, o novo malware MONOKLE tem a capacidade de tomar por completo o controle do dispositivo móvel sem acesso root e sem que o usuário se perceba esta condição.

Alvos

O Monokle, como a maioria das armas avançadas de ameaças, parece ser muito direcionado: está se espalhando por meio de um conjunto muito limitado de aplicativos trojanizados que contêm funcionalidade legítima para evitar a suspeita do usuário. A Lookout observou amostras que remontam a março de 2016, e sua telemetria mostra que a atividade parece permanecer pequena, mas consistente, com pico durante o primeiro semestre de 2018 e continuando até os dias atuais.

O Monokle provavelmente foi usado para atingir indivíduos nas regiões do Cáucaso e indivíduos interessados no grupo militante Ahrar al-Sham na Síria, entre outros, de acordo com a análise da Lookout dos aplicativos em questão; Por exemplo, um aplicativo trojanizado chamado Ahrar Maps fez a ronda na Síria durante o início de 2017, oferecido por meio de um site de terceiros que anuncia a associação com Ahrar al-Sham.

“Há algumas evidências apontando para alvos em potencial em arquivos de configuração e títulos de aplicativos que continham Monokle“, segundo o relatório. “Com base em títulos e ícones de certas aplicações, concluímos que indivíduos nos seguintes grupos são alvos de Monokle: Indivíduos interessados no Islã; indivíduos que estão interessados ou associados ao grupo militante Ahrar al-Sham na Síria; indivíduos que vivem ou estão associados às regiões do Cáucaso da Europa Oriental; e indivíduos que possam estar interessados em um aplicativo de mensagens chamado ‘UzbekChat’ que faz referência à nação da Ásia Central e à antiga república soviética do Uzbequistão. ”

Em várias amostras de Android do Monokle, existem comandos não usados e objetos de transferência de dados (DTOs) que sugerem a existência de uma versão iOS do cliente, embora nenhuma versão do iOS tenha sido vista ainda em estado natural.

“Essas classes e comandos parecem não servir como parte do cliente Android e podem ter sido gerados e incluídos de forma não intencional”, de acordo com o relatório.

Atribuição

Depois de analisar os arquivos de configuração de várias amostras da família de malware, a Lookout descobriu que eles dependem de pelo menos 22 servidores de C&C diferentes e possuem telefones de controle específicos que usam o código de país +7 da Rússia.

Os pesquisadores atribuíram o RAT ao Special Technology Center (STC), um empreiteiro de defesa russo que foi previamente sancionado pelo governo americano ainda sob o governos do presidente Obama, por interferir nas eleições presidenciais de 2016. Pesquisadores da Lookout disseram que o grupo tem um pacote de software com recursos tanto defensivos quanto ofensivos que oferece aos clientes do governo.

“O pacote de segurança Android da STC e o Monokle estão ligados uns aos outros com a ajuda de certificados de assinantes e infraestrutura de C&C sobrepostos”, de acordo com o relatório. “A infraestrutura de C&C que se comunica com o aplicativo Defender [um produto STC conhecido] também se comunica com amostras Monokle. Os certificados de assinatura usados para assinar os pacotes de aplicativos Android também se sobrepõem ao Defender e ao Monokle. Sobreposição adicional foi observada pelos pesquisadores da Lookout entre a Monokle e o software de segurança defensivo produzido pela STC nas escolhas de desenvolvimento e implementação dos autores. ”

O relatório completo da Lookout pode ser baixado em PDF no link “Monokle – The Mobile Surveillance Tooling of the Special Technology Center“