A ISH Tecnologia observou nos últimos dias uma atualização maliciosa em um aplicativo utilizado para gravar tela de celulares – trata-se do iRecorder, que conta com cerca de 50 mil downloads na Play Store. Na atualização, foi identificado a instalação de um Trojan de Acesso Remoto (RAT) da família AhMyth, que possui recursos como visualização de tela, captura de áudio e vídeo, controle remoto do dispositivo, envio e recebimento de mensagens e chamadas, localização, registros de chamadas, contatos, mensagens de textos e outras funções.
Caique Barqueta, Especialista em Inteligência de Ameaças ISH Tecnologia, explica que a detecção do malware é muito complexa para os que não possuem conhecimento técnico suficiente: “o primeiro passo é ver que, justamente por ser um aplicativo disponível na Play Store, loja oficial dos celulares de sistema Android, o usuário comum mal vai se policiar contra malwares ou ataques, pois acha que a loja possui somente apps legítimos – e em sua grande maioria são, mas às vezes sistemas invasores também passam. E essa situação fica ainda mais complicada quando o malware foi colocado no aplicativo de gravação (que, geralmente pedem permissão de acesso à diversas funções do celular) em uma atualização, assim já tendo autorização para todas as funções do celular.”
Uma vez instalado e “escondido” no dispositivo, o AhMyth RAT se comunica com o servidor C & C do celular e envia informações básicas do dispositivo, assim recebendo chaves de criptografia e um arquivo de configuração criptografado. Essas chaves são usadas para criptografar e descriptografar o arquivo de configuração e alguns dos dados exfiltrados, como a lista de arquivos no dispositivo.
Assim, o malware vai recebendo regularmente arquivos de configuração do celular, tendo informações novas tanto sobre o sistema quando os registros feitos pelo usuário. O RAT possui até autonomia suficiente para compactar arquivos extensos (geralmente, operações de sistema), para que assim, tenha controle completo sobre todas as funções do dispositivo.
Para um cuidado maior com as informações pessoais e ficar atento às tentativas de invasão, Barqueta aconselha medidas de segurança como evitar o download de aplicativos de fontes não confiáveis, manter o sistema operacional e os aplicativos atualizados com as últimas correções de segurança e utilizar soluções antivírus confiáveis enquanto medidas tomadas por desenvolvedores ou sistemas operacionais de combate à Trojan de Acesso Remoto (RAT) ainda não estejam solidamente construídas.
