Um programador russo acusado de doar dinheiro para a Ucrânia teve seu dispositivo Android secretamente implantado com spyware pela Federal Security Service (FSB) após ser detido no início deste ano.
A descoberta é parte de uma investigação colaborativa entre First Department e o Citizen Lab da Universidade de Toronto.
"O spyware colocado em seu dispositivo permite ao operador rastrear a localização do dispositivo alvo, gravar chamadas telefônicas, capturar keystrokes e ler mensagens de aplicativos de mensagens criptografadas, entre outras capacidades", segundo o relatório.
Em maio de 2024, Kirill Parubets foi liberado da custódia após um período de 15 dias em detenção administrativa pelas autoridades russas, durante o qual seu telefone, um Oukitel WP7 rodando Android 10, foi confiscado.
Durante esse período, ele não só foi espancado para compelí-lo a revelar a senha do seu dispositivo, mas também submetido a um "esforço intenso" para recrutá-lo como informante para a FSB, ou então arriscar enfrentar prisão perpétua.
Após concordar em trabalhar para a agência, apenas para ganhar tempo e se afastar, a FSB devolveu seu dispositivo em sua sede da Lubyanka.
Foi nessa fase que Parubets começou a notar que o telefone exibia comportamentos incomuns, incluindo uma notificação que dizia "Arm cortex vx3 synchronization".
Uma análise mais aprofundada do dispositivo Android revelou que ele foi de fato adulterado com uma versão trojanizada do legítimo aplicativo Cube Call Recorder.
Vale ressaltar que o aplicativo legítimo tem o nome do pacote "com.catalinagroup.callrecorder", enquanto o nome do pacote da contraparte rogada é "com.cortex.arm.vx3." O aplicativo falso é projetado para solicitar permissões intrusivas que permitem coletar uma ampla gama de dados, incluindo mensagens SMS, calendários, instalar pacotes adicionais e atender chamadas telefônicas.
Ele também pode acessar a localização precisa, gravar chamadas telefônicas e ler listas de contatos, todas funções que fazem parte do aplicativo legítimo.
"A maior parte da funcionalidade maliciosa do aplicativo está escondida em uma segunda etapa criptografada do spyware", disse o Citizen Lab.
Uma vez que o spyware é carregado no telefone e executado, a segunda etapa é descriptografada e carregada na memória.
A segunda etapa incorpora recursos para logar keystrokes, extrair arquivos e senhas armazenadas, ler chats de outros aplicativos de mensagens, injetar JavaScript, executar comandos shell, obter a senha de desbloqueio do dispositivo e até adicionar um novo administrador do dispositivo.
O spyware também exibe algum nível de sobreposição com outro spyware para Android chamado Monokle que foi documentado pela Lookout em 2019, levantando a possibilidade de ser uma versão atualizada ou que tenha sido construído reutilizando a base de código do Monokle.
Especificamente, algumas das instruções de comando e controle (C2) entre as duas cepas foram encontradas idênticas.
O Citizen Lab disse que também identificou referências ao iOS no código-fonte, sugerindo que pode haver uma versão do spyware para iOS.
"Este caso ilustra que a perda de custódia física de um dispositivo para um serviço de segurança hostil como o FSB pode ser um risco severo de comprometimento que se estenderá além do período em que os serviços de segurança têm a custódia do dispositivo", disse o relatório.
A divulgação ocorre enquanto a iVerify disse que descobriu sete novas infecções pelo spyware Pegasus em dispositivos iOS e Android pertencentes a jornalistas, oficiais do governo e executivos corporativos.
A firma de segurança móvel está rastreando o desenvolvedor do spyware, NSO Group, como Rainbow Ronin.
"Um exploit de final de 2023 no iOS 16.6, outra possível infecção por Pegasus em novembro de 2022 no iOS 15 e cinco infecções mais antigas datando de 2021 e 2022 nos iOS 14 e 15", disse o pesquisador de segurança Matthias Frielingsdorf.
Cada uma destas representava um dispositivo que poderia ter sido monitorado silenciosamente, seus dados comprometidos sem o conhecimento do proprietário.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...