A Trend Micro – especializada na defesa de ameaças digitais e segurança na era da nuvem – recentemente encontrou uma amostra de um aplicativo de notícias falsas que parece ter sido projetado para evitar o filtro do Google Play. Isso aconteceu após a notícia de que os dispositivos iOS estavam em risco de um spyware relacionado ao Hacking Team. O aplicativo de notícias falsas foi baixado até 50 vezes antes de ser removido do Google Play, no dia 7 de julho.
O app “BeNews” é um aplicativo backdoor que usa o nome do site de notícias extinto “BeNews” para parecer legítimo. Foi encontrado o código fonte do backdoor no vazamento, incluindo um documento que ensina aos clientes como usá-lo. Com base nisso, – a Trend Micro acredita que o Hacking Team fornecia o aplicativo aos clientes para ser usado como uma isca para baixar o malware RCSA para Android no dispositivo alvo.
O backdoor, ANDROIDOS_HTBENEWS.A, pode afetar as versões Android, do Froyo 2.2 até o KitKat4.4.4, mas não se limita só a elas. Ele explora a vulnerabilidade local de escalação de privilégio CVE-2014-3153 nos dispositivos Android. Essa falha foi anteriormente usada pela ferramenta root exploit, TowellRoot para burlar a segurança do dispositivo, deixando-o aberto ao download de malware , permitindoacesso para agressores remotos.
De acordo com as observações das rotinas do app, acredita-se queo aplicativo possa- burlar as restrições do Google Play usando uma tecnologia de carregamento dinâmico. Inicialmente, ele apenas pede três permissões e pode ser considerado seguro para os padrões de segurança do Google, já que nenhum código de exploração é encontrado no aplicativo. Porém a tecnologia de carregamento dinâmico permite que o app baixe e execute um código parcial a partir da Internet. O código não será carregado enquanto o Google está verificando o aplicativo mas enviará o código assim que a vítima comece a usá-lo.
Foi descoberto, também pela equipe Trend Micro, um código fonte do backdoor e seu servidor entre os dados do vazamento do Hacking Team. O documento rotulado como “core-android-market-master.zip” traz instruções detalhadas de como os clientes podem manipular o backdoor e também uma conta já pronta no Google Play que eles podem usar.
Com alguns casos similares aos do Hacking Team, os usuários finais inclusive de dispositivos móveis – precisam ficar alertas às atualizações de segurança. Para proteger mobiles que ameaçam as medidas de segurança do Google Play, a Trend Micro oferece segurança para dispositivos móveis Android por meio do Mobile Security for Android™. Os usuários também podem adquirir a solução de segurança móvel no Google Play.
Acompanhe o assunto no Blog Simplesmente Segurança, da Trend Micro:
http://blog.trendmicro.com.br/app-de-noticias-falsas-do-vazamento-do-hacking-team-projetado-para-burlar-o-google-play/#.Va_0aflVikp
Sobre a Trend Micro
A Trend Micro Incorporated, líder global em segurança em nuvem, proporciona a empresas e consumidores um mundo seguro para a troca de informações digitais, por meio da segurança para conteúdo na internet e gerenciamento de ameaças. Com mais de 20 anos de experiência, a empresa é pioneira em segurança para servidor. Nós oferecemos segurança altamente conceituada, baseada em cliente, servidor e em nuvem, que atende às necessidades de nossos consumidores e parceiros, impede ameaças mais rápido e protege dados em ambientes físicos, virtualizados e em nuvem. Potencializados pela infraestrutura Trend Micro™ SmartProtection Network™, nossos produtos, serviços e segurança, líderes na indústria de cloud-computing, impedem a ação de ameaças de onde quer que elas surjam, na internet, com o apoio de mais de 1.200 especialistas em inteligência de ameaças em todo o mundo. Para informações adicionais, visite www.trendmicro.com.