“O spyware instalado em seu dispositivo permite que o operador rastreie a localiza\u00e7\u00e3o do dispositivo alvo, grave chamadas telef\u00f4nicas, pressionamentos de teclas e leia mensagens de aplicativos de mensagens criptografadas, entre outros recursos”, de acordo com o relat\u00f3rio.<\/p>\n\n\n\n
Em maio de 2024, Kirill Parubets foi libertado<\/a> da cust\u00f3dia ap\u00f3s um per\u00edodo de 15 dias de deten\u00e7\u00e3o administrativa pelas autoridades russas, durante o qual seu telefone, um Oukitel WP7 com Android 10, foi confiscado dele.<\/p>\n\n\n\n Durante esse per\u00edodo, ele n\u00e3o s\u00f3 foi espancado para ser obrigado a revelar a senha do seu dispositivo, como tamb\u00e9m foi submetido a um “esfor\u00e7o intenso” para recrut\u00e1-lo como informante do FSB, sob risco de pris\u00e3o perp\u00e9tua.<\/p>\n\n\n\n Depois de concordar em trabalhar para a ag\u00eancia, mesmo que apenas para ganhar algum tempo e fugir, o FSB devolveu seu dispositivo \u00e0 sede em Lubyanka. Foi nessa fase que Parubets come\u00e7ou a notar que o telefone exibia um comportamento incomum, incluindo uma notifica\u00e7\u00e3o que dizia “Armar sincroniza\u00e7\u00e3o c\u00f3rtex vx3”.<\/p>\n\n\n\n Um exame mais aprofundado do dispositivo Android revelou que ele foi de fato adulterado com uma vers\u00e3o trojanizada do aplicativo Cube Call Recorder<\/a> genu\u00edno . Vale a pena notar que o aplicativo leg\u00edtimo tem o nome do pacote “com.catalinagroup.callrecorder”, enquanto o nome do pacote da contraparte desonesta<\/a> \u00e9 “com.cortex.arm.vx3”.<\/p>\n\n\n\n O aplicativo falsificado \u00e9 projetado para solicitar permiss\u00f5es intrusivas que permitem que ele colete uma ampla gama de dados, incluindo mensagens SMS, calend\u00e1rios, instale pacotes adicionais e atenda chamadas telef\u00f4nicas. Ele tamb\u00e9m pode acessar localiza\u00e7\u00e3o precisa, gravar chamadas telef\u00f4nicas e ler listas de contatos, todas as fun\u00e7\u00f5es que fazem parte do aplicativo leg\u00edtimo.<\/p>\n\n\n\n “A maior parte da funcionalidade maliciosa do aplicativo est\u00e1 escondida em um segundo est\u00e1gio criptografado do spyware”, disse o Citizen Lab. “Uma vez que o spyware \u00e9 carregado no telefone e executado, o segundo est\u00e1gio \u00e9 descriptografado e carregado na mem\u00f3ria.”<\/p>\n\n\n\n O segundo est\u00e1gio incorpora recursos para registrar pressionamentos de tecla, extrair arquivos e senhas armazenadas, ler bate-papos de outros aplicativos de mensagens, injetar JavaScript, executar comandos de shell, obter a senha de desbloqueio do dispositivo e at\u00e9 mesmo adicionar um novo administrador do dispositivo.<\/p>\n\n\n\n O spyware tamb\u00e9m exibe algum n\u00edvel de sobreposi\u00e7\u00e3o com outro spyware Android chamado Monokle<\/a> que foi documentado pela Lookout em 2019, levantando a possibilidade de que seja uma vers\u00e3o atualizada ou que tenha sido constru\u00eddo reutilizando a base de c\u00f3digo do Monokle. Especificamente, algumas das instru\u00e7\u00f5es de comando e controle (C2) entre as duas cepas foram consideradas id\u00eanticas.<\/p>\n\n\n\n O Citizen Lab disse que tamb\u00e9m identificou refer\u00eancias ao iOS no c\u00f3digo-fonte, sugerindo que poderia haver uma vers\u00e3o iOS do spyware.<\/p>\n\n\n\n “Este caso ilustra que a perda da cust\u00f3dia f\u00edsica de um dispositivo para um servi\u00e7o de seguran\u00e7a hostil como o FSB pode ser um risco grave de comprometimento que se estender\u00e1 al\u00e9m do per\u00edodo em que os servi\u00e7os de seguran\u00e7a t\u00eam a cust\u00f3dia do dispositivo”, disse.<\/p>\n\n\n\n A divulga\u00e7\u00e3o ocorre quando a iVerify disse ter descoberto sete novas infec\u00e7\u00f5es de spyware Pegasus<\/a> em dispositivos iOS e Android pertencentes a jornalistas, funcion\u00e1rios do governo e executivos corporativos. A empresa de seguran\u00e7a m\u00f3vel est\u00e1 rastreando o desenvolvedor de spyware, NSO Group, como Rainbow Ronin.<\/p>\n\n\n\n![\"Programador](\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjxoKBVH9_s5Rp5k09V-R5IOV9zetGOZZ4n5E7Aocet5bLQFN1zLsUYbg727-s9m2lFUWhHb97zIKWtpVQAodhmgpbkWY1pAP28AAvVA6ds4RHXadufQjqKDnd-7nVHVUsftUe1UTWAx0UM_8SYmxDyn6YL1QdCgSkCBUD66Jl4K1XJzoA6OhoCdaez9TFo\/s728-rw-e365\/malware.png\" "\\"Programador")
<\/a><\/figure>\n\n\n\n