Notícias de dispositivos móveis, gadgets, aplicativos Android

EvilBamboo atacando Android e Android Dispositivos iOS com malware personalizado

Descobriu-se que EvilBamboo, anteriormente conhecido como ‚ÄúEvil Eye‚ÄĚ, tem como alvo organiza√ß√Ķes e indiv√≠duos tibetanos, uigures e taiwaneses. Este ator de amea√ßa foi mencionado por conduzir campanhas personalizadas de malware para Android em setembro de 2019.

Em abril de 2020, descobriu-se que EvilBamboo estava atacando dispositivos iOS com uma exploração do Safari para infectar malware iOS personalizado para usuários uigures. No entanto, relatórios recentes sugerem que esse ator de ameaça tem como alvo os usuários do Android com sites falsos e perfis de mídia social falsos que se fazem passar por comunidades populares existentes.

Documento

Uma história de três irmãos maus

Uma análise mais aprofundada revelou que o EvilBamboo tem usado pelo menos três famílias de malware: BADBAZAAR, BADSIGNAL e BADSOLAR. Todo esse malware possui um backdoor incorporado em um aplicativo legítimo.

Capacidade BADSOLAR BADBAZAAR MAL SINAL
Implantado em duas etapas X X
Nomes de fun√ß√Ķes AndroRAT X
Interage com o aplicativo host para exfiltrar dados X
Roubo de SMS em tempo real X
Fun√ß√Ķes GetOperatorName() e DeviceInfo() X X X
Fixação SSL X
C2 via soquete RAW X X
C2 via API HTTP Rest X
Compartilhado via Telegram X X
Possui site dedicado X X
Suspeita de variante iOS X
Segmentação observada Tibetanos Uigures, Taiwaneses, Tibetanos e outros Uigures

Esses aplicativos foram distribuídos entre usuários com suporte a grupos de Telegram. Esses grupos geralmente têm como tema um aplicativo específico, mas outras vezes são mantidos em torno de uma categoria de aplicativos.

BADBAZAAR

Este malware foi distribu√≠do por meio de v√°rios t√≥picos em um f√≥rum de compartilhamento de APK de Taiwan APK[.]dois e teve mais de 100.000 visualiza√ß√Ķes.

O tópico também alegou estar compartilhando um aplicativo Whoscall Android legítimo e crackeado, usado para identificar chamadas e mensagens de spam. A postagem também trazia um link que é atualizado sempre que o app é lançado com uma nova versão do APK.

BADBAZAAR √© capaz de armazenar SMS no terminal, obter registros de chamadas, tirar fotos e coletar informa√ß√Ķes sobre o dispositivo, como IMEI, fuso hor√°rio, detalhes de Wi-Fi, aplicativos instalados, listas de contatos e localiza√ß√£o do dispositivo.

N√≥s recomendamos:  [Update: Pulled] Gmail Go dispon√≠vel para download na Play Store para todos os telefones Android

BADSOLAR

Este malware foi distribu√≠do via ‚ÄúTelefone tibetano‚ÄĚGrupo Telegram, que tamb√©m compartilhou um link para ignitetibet[.]l√≠quido. A solicita√ß√£o para esta URL na porta 9001 com jquery.min.js carrega um script de cria√ß√£o de perfil ofuscado denominado JMASK.

Este malware √© backdoor em outro aplicativo Android leg√≠timo com um endere√ßo C2 como comeflxyr[.]com usado para baixar um arquivo JAR e um implante de segundo est√°gio AndroRAT. V√°rios nomes de m√©todos foram usados ‚Äč‚Äčneste malware, que tinham fun√ß√Ķes diferentes.

Função Descrição
Informa√ß√Ķes avan√ßadas do sistema Obtenha informa√ß√Ķes sobre o terminal, como detalhes da bateria e temperatura do dispositivo.
Lista de registros de chamadas Obtenha o histórico de chamadas com a data, duração e nome associado ao chamador.
Lista de contatos Obt√©m informa√ß√Ķes de contato.
Informa√ß√£o do dispositivo Obtenha informa√ß√Ķes do dispositivo, como MAC, operadora, fornecedor, modelo, IMEI, IMSI, fuso hor√°rio, etc.
DirLister Liste os arquivos no dispositivo.
Downloader de arquivos Carregue um arquivo no servidor C2.
GetDeviceInfos Obtenha o IMEI, o n√ļmero de s√©rie do SIM e o n√ļmero de telefone do dispositivo.
Ouvinte GPS Obtenha a localização.
FotoTaker Tirar uma foto.
Lista de SMS Obtenha mensagens SMS armazenadas.
UDPThread Comunique-se com UDP (porta 137).
Utilitários Wifi Obtenha os detalhes do Wi-Fi, como servidores IP, SSID, BSSID, MAC e DNS. O malware também é capaz de listar a tabela APR usando ip neigh show.
Informa√ß√£o do sistema Execute a maioria das fun√ß√Ķes listadas nesta tabela.

MAL SINAL

Esta √© uma vers√£o backdoor do aplicativo leg√≠timo Signal, que foi distribu√≠da usando o www.signalplus[.]org, www.flygram[.]org e www.groupgram[.]sites de organiza√ß√Ķes. Este malware tinha duas variantes: a variante Telegram e a variante Signal.

Após uma investigação mais aprofundada, vários endpoints de API configurados pelo agente da ameaça revelaram que tinham uma versão iOS.

N√≥s recomendamos:  Erro de bate-papo secreto do Telegram do Guia. Como consertar no Android [GUIDA]

Este malware n√£o baixa uma carga √ļtil de segundo est√°gio, pois o APK principal possui todos os recursos. Tamb√©m foi descoberto que este malware usa API REST na porta 4432 como parte de sua comunica√ß√£o C2.

A relat√≥rio completo sobre este malware foi publicado pela Volexity que fornece informa√ß√Ķes detalhadas sobre o c√≥digo-fonte, distribui√ß√£o e outras informa√ß√Ķes.

As solu√ß√Ķes de endpoint gerenciadas permitem que as organiza√ß√Ķes verifiquem amea√ßas, gerenciem, resolvam e evitem viola√ß√Ķes de dados. Experimente gratuitamente hoje!