App espião para Android é nova arma de ataques por grupo iraniano

Um aplicativo de espionagem para o sistema operacional Android é a nova arma de um grupo cibercriminoso atuando no Irã. O software chega por meio de SMS fraudulento como uma indicação de VPN ou mensageiro privado, que permitiria a comunicação além das restrições da internet do país, mas faz exatamente o inverso, interceptando chamadas, mensagens de texto e gravando o que é captado pelo microfone.

• Como descobrir se seu celular tem um app espião instalado
• Países investem mais em espionagem digital e ataques contra inimigos políticos

De acordo com relatório da Mandiant, empresa de segurança digital que apontou a disseminação da nova praga, os alvos seriam dissidentes e ativistas contra o governo do país. Além disso, com o uso do aplicativo espião, o governo também estaria de olho em informações pessoais, contatos e dados de localização, em uma operação que representaria riscos para os indivíduos de interesse.

Apesar de o foco da operação ser o Irã, os especialistas também encontraram páginas e mensagens em árabe que estariam sendo usadas para disseminar o malware, o que indica que o alvo pode ir além das fronteiras. No passado, o grupo responsável pelos ataques também usou métodos de disseminação lateral, identificando contatos em outros países e usando mensagens customizadas para atingir estas pessoas, com o mesmo podendo estar em andamento aqui.

O app se esconde entre as aplicações do sistema operacional Android como se fosse uma VPN e também se comporta como tal, incluindo, inclusive, os alertas da plataforma sobre os perigos de uso de uma solução assim. Ao receber aprovação, então, começam as operações de espionagem, com dados do celular comprometido sendo enviados a um servidor de controle que é operado pelos criminosos.

Por trás da campanha estaria um grupo conhecido como APT42, que realiza ataques em prol do governo do Irã desde, pelo menos, 2015. Ao longo dos últimos sete anos, mais de 30 campanhas de espionagem, em 14 países, foram registradas e relacionadas à quadrilha, com a Mandiant apontando que o total pode ser ainda maior, já que os números atuais se referem apenas àquelas cujas falhas ou erros de proteção levaram à descoberta.

Como estamos falando de operações de espionagem localizada e contra indivíduos de interesse, existe a possibilidade de métodos ainda mais furtivos terem sido usados como arma de perseguição política. Os principais alvos, como sempre, são os ativistas em prol da liberdade e dos direitos civis, assim como jornalistas e políticos; ataques contra organizações de saúde e educação também foram registrados como parte dos trabalhos do APT42.

Outros métodos de ataque usados no passado, principalmente contra rivais políticos, também envolvem informes sobre vacinação contra a covid-19, cartilhas sobre a história do Irã enviadas a pesquisadores e até e-mails fraudulentos em nome do sistema de transporte público da Inglaterra. Apesar deste ser um caso de monitoramento, o APT42 costuma atuar de forma mais direta em operações de roubo de credenciais, principalmente de sistemas corporativos e plataformas de cloud computing.

Fonte: Mandiant