FireEye faz apresentação mostrando brechas abertas pelos anúncios de aplicativos para Android | |
Estudo conduzido pela empresa de segurança mostra como hackers interceptam informações através das bibliotecas de anúncios
| |
A FireEye, Inc. (NASDAQ: FEYE), atual líder em deter ciber-ataques avançados, fez uma demonstração no Black Hat USA – evento de segurança digital mais importante do mundo – mostrando como hackers utilizam brechas nas informações enviadas pelas bibliotecas de anúncios dos aplicativos para Android para realizar ATPs. Por meio de interceptação do conteúdo os invasores podem obter controle total de um aparelho com o sistema operacional, desde o roubo de SMS até gravações de vídeo pela câmera do aparelho. Na era do BYOD empresas devem se preocupar, pois grupos de APT se aproveitam de todos os meio possíveis para realizar um ataque, incluindo a invasão de dispositivos pessoais de funcionários chave da empresa alvo. Para ter uma ideia, o número de dispositivos Android no mundo chegou a quase 2 bilhões em 2014 segundo a Gartner. Só no programa BYOD da Intel, são mais de 20 mil aparelhos Android com cerca de 800 combinações de hardware, configurações e versões do sistema operacional móvel. Apesar de malwares serem raros na Google Play, o sistema tem vulnerabilidades, como as bibliotecas de anúncios que podem vazar informações pessoais do usuário. Explorando brechas um invasor pode interceptar essas informações e localizar alvos precisos como Presidentes, Diretores e Gerentes de uma empresa específica ou até mesmo celebridades e pessoas físicas. A FireEye denomina esse ataque como “Sidewinder Targeted Attacks”. O conceito se baseia nos mísseis Sidewinder que podem travar em um alvo e atingi-lo de forma guiada. Com o mesmo comportamento, o hacker invade uma rede e espera o sinal da vítima vindo das bibliotecas de anúncios. Assim que tem um alvo travado na mira o hacker pode iniciar a base do ataque APT. Por meio de ataques sofisticados o invasor pode comandar uma série de recursos do celular como na figura abaixo que mostra a interface de um malware: Do lado esquerdo, um painel comanda o aparelho da vítima. As funções incluem: • Upload de arquivos; • Controle da câmera e microfone para gravar áudio/vídeo; • Manipulação da área de transferência (que armazena as senhas do Android); • Enviar SMS; • Fazer ligações; • Implantar bootkit (malware ativado na inicialização do Android); • Instalar aplicativos. O painel da direita lista a informação roubada. Neste caso, uma captura de tela, a lista de apps instalados, área de transferência (por onde ele pode roubar todas as senhas digitadas no aparelho), uma foto tirada pela câmera principal, uma gravação de áudio e um vídeo, com a localização GPS interceptada de uma biblioteca de anúncios. Além disso, o painel também mostra a localização exata da vítima no Google Maps. Baseado em todas estas informações precisas, um grupo de alvos VIP pode ser facilmente identificado. Para ver a demonstração em vídeo (em inglês) clique aqui. No vídeo Rob Rachwald, Diretor de Comunicações Corporativas da FireEye, demonstra como são simples as ações de controle por parte do invasor, mesmo em um celular com Android e antivírus atualizados. A FireEye alerta que milhões de usuários estão sobre ameaça de ataques Sidewinder e recomenda que editores de bibliotecas de anúncios aumentem a segurança por meio de certificados e criptografia do tráfego de rede. Ainda, segundo a FireEye, editores também precisam ser cautelosos sobre quais interfaces privilegiadas estão expostas aos provedores de anúncios, no caso de anúncios maliciosos ou atacantes sequestrando os canais de comunicação. Enquanto isso, a FireEye recomenda que o próprio Google endureça ainda mais a estrutura de segurança. Para download do relatório “Sidewinder Targeted Attack Against Android In The Golden Age Of Ad Libraries” acesse (em inglês): http://www.fireeye.com/resources/pdfs/fireeye-sidewinder-targeted-attack.pdf Sobre a FireEye, Inc. |
Hackers utilizam brechas de anúncios nos aplicativos para Android
463