Dezembro 20, 2024
Rico Olivetti Desenvolvimento, Hackers, Tecnologia

FSB usa aplicativo Trojan para monitorar programador russo

Um programador russo acusado de doar dinheiro para a Ucrânia teve seu dispositivo Android secretamente implantado com spyware pelo Serviço Federal de Segurança (FSB) depois que ele foi detido no início deste ano.

As descobertas fazem parte de uma investigação colaborativa do Primeiro Departamento e do Citizen Lab da Universidade de Toronto .

“O spyware instalado em seu dispositivo permite que o operador rastreie a localização do dispositivo alvo, grave chamadas telefônicas, pressionamentos de teclas e leia mensagens de aplicativos de mensagens criptografadas, entre outros recursos”, de acordo com o relatório.

Em maio de 2024, Kirill Parubets foi libertado da custódia após um período de 15 dias de detenção administrativa pelas autoridades russas, durante o qual seu telefone, um Oukitel WP7 com Android 10, foi confiscado dele.

Durante esse período, ele não só foi espancado para ser obrigado a revelar a senha do seu dispositivo, como também foi submetido a um “esforço intenso” para recrutá-lo como informante do FSB, sob risco de prisão perpétua.

Depois de concordar em trabalhar para a agência, mesmo que apenas para ganhar algum tempo e fugir, o FSB devolveu seu dispositivo à sede em Lubyanka. Foi nessa fase que Parubets começou a notar que o telefone exibia um comportamento incomum, incluindo uma notificação que dizia “Armar sincronização córtex vx3”.

Um exame mais aprofundado do dispositivo Android revelou que ele foi de fato adulterado com uma versão trojanizada do aplicativo Cube Call Recorder genuíno . Vale a pena notar que o aplicativo legítimo tem o nome do pacote “com.catalinagroup.callrecorder”, enquanto o nome do pacote da contraparte desonesta é “com.cortex.arm.vx3”.

O aplicativo falsificado é projetado para solicitar permissões intrusivas que permitem que ele colete uma ampla gama de dados, incluindo mensagens SMS, calendários, instale pacotes adicionais e atenda chamadas telefônicas. Ele também pode acessar localização precisa, gravar chamadas telefônicas e ler listas de contatos, todas as funções que fazem parte do aplicativo legítimo.

“A maior parte da funcionalidade maliciosa do aplicativo está escondida em um segundo estágio criptografado do spyware”, disse o Citizen Lab. “Uma vez que o spyware é carregado no telefone e executado, o segundo estágio é descriptografado e carregado na memória.”

Programador Russo

O segundo estágio incorpora recursos para registrar pressionamentos de tecla, extrair arquivos e senhas armazenadas, ler bate-papos de outros aplicativos de mensagens, injetar JavaScript, executar comandos de shell, obter a senha de desbloqueio do dispositivo e até mesmo adicionar um novo administrador do dispositivo.

O spyware também exibe algum nível de sobreposição com outro spyware Android chamado Monokle que foi documentado pela Lookout em 2019, levantando a possibilidade de que seja uma versão atualizada ou que tenha sido construído reutilizando a base de código do Monokle. Especificamente, algumas das instruções de comando e controle (C2) entre as duas cepas foram consideradas idênticas.

O Citizen Lab disse que também identificou referências ao iOS no código-fonte, sugerindo que poderia haver uma versão iOS do spyware.

“Este caso ilustra que a perda da custódia física de um dispositivo para um serviço de segurança hostil como o FSB pode ser um risco grave de comprometimento que se estenderá além do período em que os serviços de segurança têm a custódia do dispositivo”, disse.

A divulgação ocorre quando a iVerify disse ter descoberto sete novas infecções de spyware Pegasus em dispositivos iOS e Android pertencentes a jornalistas, funcionários do governo e executivos corporativos. A empresa de segurança móvel está rastreando o desenvolvedor de spyware, NSO Group, como Rainbow Ronin.

“Um exploit do final de 2023 no iOS 16.6, outra potencial infecção por Pegasus em novembro de 2022 no iOS 15 e cinco infecções mais antigas que datam de 2021 e 2022 no iOS 14 e 15”, disse o pesquisador de segurança Matthias Frielingsdorf . “Cada um deles representava um dispositivo que poderia ter sido monitorado silenciosamente, com seus dados comprometidos sem o conhecimento do proprietário.”