Avançar para o conteúdo principal

Kaspersky Lab descobre novo malware para iOS e Android

Kaspersky Lab tornou pública uma investigação que revela a existência de uma infra-estrutura internacional utilizada para controlar de forma remota implementações de malware e que também permitiu identificar Trojans móveis para Android e iOS até agora desconhecidos, como já tínhamos referido aqui. Estes módulos fazem parte de uma solução “supostamente legal”, o Remote Control System (RSC), também conhecida como Galileo, desenvolvida pela companhia italiana Hacking Team.
A lista de vítimas que aparece nesta investigação, realizada pela Kaspersky Lab em conjunto com o seu parceiro Citizen Lab, inclui activistas e defensores de direitos humanos, assim como jornalistas e políticos.
malware
Infra-estrutura RCS
A Kaspersky Lab abordou vários métodos de segurança para localizar os servidores de comando e controlo (C&C) do Galileo em todo o mundo. Para a sua identificação, os analistas da Kaspersky Lab basearam-se em indicadores especiais e dados de conectividade obtidos por engenharia inversa das amostras existentes.
Durante as últimas análises, os investigadores da Kaspersky Lab conseguiram localizar mais de 320 servidores RCS C&C em 40 países. a maioria dos encontrava-se nos Estados Unidos, Cazaquistão, Equador, Reino Unido e Canadá.
Sergey Golovanov, analista da Kaspersky Lab, afirma que “a presença destes servidores num determinado país não significa que estejam a ser utilizados por organismos policiais desse país. No entanto, faz sentido para os utilizadores do programa espião RCS implementar o seu C&C em lugares que estão sob o seu controlo – onde exista um risco mínimo de problemas jurídicos internacionais ou ataques de servidores”.
Implantes móveis RCS
Embora se soubesse que os Trojans móveis da HackingTeam para iOS e Android existiam, ninguém os tinha ainda identificado. Os analistas da Kaspersky Lab investigaram o malware RCS durante os últimos dois anos. No início de 2014, foram identificadas algumas amostras de módulos móveis que coincidiam com perfis de configuração incluídos na colecção de malware RCS. Durante a recente investigação, também foram recebidas novas variantes de amostras através da rede Kaspersky Security Nertwork, baseada na nuvem. Além disso, os peritos da companhia trabalharam estreitamente com Morgan Marquis-Boire da Citizen Lab, que tem estado a investigar o conjunto de malware HackingTeam.
malware_07
Os vectores de infecção
Os cibercriminosos que estão por detrás do Galileo RCS construíram um implante malicioso concreto para cada alvo. Uma vez pronta a amostra, o ciber-atacante depositava-a no dispositivo móvel da vítima. Alguns dos vectores de infecção conhecidos incluem spearphishing através de engenharia social – muitas vezes em conjunto com exploits, zero-days e infecções locais por cabos USB usados durante a sincronização dos dispositivos móveis.
Uma das grandes descobertas foi saber exactamente como um Trojan móvel Galileo infecta um iPhone: para tal, o dispositivo necessita ter sido alvo de jailbreak. No entanto, não só os iPhones com jailbreak podem ficar vulneráveis. Um cibercriminoso pode executar uma ferramenta de jailbreak como ‘Evasi0n’ através de um equipamento infectado previamente e realizar um jailbreak de forma remota e infectá-lo depois. Para evitar os riscos de infecção, os peritos da Kaspersky Lab recomendam em primeiro lugar que nunca se faça o jailbreak aos dispositivos iPhone, e em segundo lugar que se actualizem constantemente os iOS do dispositivo com a última versão.
Espionagem personalizada
Os módulos móveis RCS foram concebidos para operar de uma forma discreta. São implementados através de acções de ciberespionagem muito cuidadas, feitas à medida, ou com disparadores especiais: por exemplo, uma gravação de áudio pode começar só quando a vítima se liga a uma rede Wi-Fi em particular (como a rede de uma empresa), quando se muda o cartão SIM do dispositivo ou enquanto este está a ser carregado.
Em geral, os Trojans RCS podem realizar diferentes funções de vigilância, como registar a localização, tirar fotos, copiar eventos do calendário, registar novos cartões SIM inseridos no dispositivo infectado e interceptar chamadas telefónicas e mensagens, incluindo as mensagens enviadas a partir de aplicações específicas, como Viber, WhatsApp e Skype, além das SMS.
Detecção

Os produtos da Kaspersky Lab detectam as ferramentas spyware RCS / DaVinci / Galileo como: Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX. Morcut, Trojan.OSX.Morcut.

Comentários

Mensagens populares deste blogue

Ubuntu 13.10 Saucy Salamander virá com o MIR

Durante o dia de hoje, o mundo Linux assistiu ao anuncio de duas informações antagónicas: Por um lado Jonathan Riddell,  do projecto  Kubuntu,   referiu que o Mir/XMir não será (ainda) integrado na sua distribuição  ;  Relativamente ao projecto Ubuntu, a informação é que o Ubuntu 13.10 Saucy Salamander virá com o MIR. Tal como anunciado  o Ubuntu 13.10 Saucy Salamander virá com o MIR, um novo servidor gráfico, desenvolvido pela Canonical, desenhado para ser rápido, eficiente e transversal a várias versões do Ubuntu (ex. Ubuntu para smartphones/ tablets, desktops, TV, etc). O Mir será o  substituto do X-Window e X.org  e oferecerá uma nova experiência aos utilizadores (de referir que a não adopção do  Wayland   – projecto idêntico desenvolvido por um grupo de programadores da Redhat, se deveu a incompatibilidades com os objectivos traçados pela Canonical). Como objectivo traçado, a equipa de desenvolvimento pretende...

Llama Mountain: A board mais pequena do mundo é da Intel

A miniaturização dos componentes que constituem os nossos computadores tem estado a atingir níveis microscópicos. Ao criarem estes componentes passa a ser possível incluí-los em chassis ainda mais pequenos ou permite ganhar espaço para a colocação de outros elementos de maiores dimensões. A Intel apresentou hoje um protótipo, de nome Llama Mountain, que revela uma motherboard completa, mas de dimensões extremamente pequenas. Esta tecnologia vai estar disponível para qualquer OEM criar dispositivos, completos, ainda mais pequenos ou com outras características únicas. O Llama Mountain foi apresentado pela Intel na Computex um tablet único, a correr Windows 8.1 Pro, que é suportado por uma motherboard de dimensões reduzidas e que permite que exista espaço para a colocação de duas baterias. Estas duas baterias, de dimensões generosas, garantem a este tablet de 12.5 polegadas uma autonomia de 32 horas. Também como resultado da utilização desta motherboard, o tablet que fo...

Avira PC Cleaner, do alerta para a segurança

As ferramentas que nos podem ajudar a detectar uma eventual infecção no nosso sistema são sempre uma mais-valia. Mas tornam-se ainda mais úteis quando chegam pela mão das grandes marcas de software com tradição em soluções de segurança, como é o caso da  Avira . Assim, a marca alemã disponibilizou o seu Avira PC Cleaner que pode ser descrito como uma ferramenta individual de pesquisa para vírus que funcional de forma independente, em espécie de «auditor» quer tenhamos ou não outras ferramentas de segurança instaladas. Vamos conhecer? O primeiro programa é bastante leve, rondando pouco mais de 2 MB de download sem necessidade de instalação. Uma vez descarregado basta correr o programa para que, de forma automática ele descarregue via INternet a «segunda parte» dele mesmo. Penso que começamos bem por aqui, pois este procedimento reduz, em certa forma, a possibilidade de eventuais conflitos com outras ferramentas de segurança que possamos ter instaladas. Uma vez d...