Usuários de Android em Israel estão sendo alvos de uma versão maliciosa do aplicativo 'RedAlert - Rocket Alerts', que, embora ofereça a funcionalidade prometida, age como um spyware em segundo plano.
RedAlert - Rocket Alerts é um aplicativo de código aberto legítimo usado por cidadãos israelenses para receber notificações de foguetes direcionados ao país.
O aplicativo é extremamente popular, com mais de um milhão de downloads no Google Play.
Desde que os terroristas do Hamas lançaram seu ataque no sul de Israel na semana passada, envolvendo milhares de foguetes, o interesse no aplicativo explodiu à medida que as pessoas procuravam alertas oportunos sobre ataques aéreos em sua área.
De acordo com a Cloudflare, hackers de origem e motivação desconhecida estão aproveitando o aumento do interesse no aplicativo e o medo dos ataques para distribuir uma versão falsa que instala spyware.
Esta versão maliciosa está sendo distribuída a partir do site "redalerts[.]me", que foi criado em 12 de outubro de 2023, e inclui dois botões para download do aplicativo para as plataformas iOS e Android.
O download para iOS redireciona o usuário para a página legítima do projeto na Apple App Store, mas o botão do Android faz download direto de um arquivo APK para ser instalado no dispositivo.
O APK baixado utiliza o código legítimo do aplicativo RedAlert original, então contém todas as funcionalidades regulares e aparece como uma ferramenta legítima de alerta de foguetes.
No entanto, a Cloudflare descobriu que o aplicativo solicita permissões adicionais das vítimas, incluindo acesso aos contatos do usuário, números, conteúdo de SMS, lista de software instalado, registros de chamadas, IMEI do telefone, contas de e-mail e do aplicativo logadas, e mais.
Após o lançamento, o aplicativo inicia um serviço em segundo plano que abusa dessas permissões para coletar dados, criptografá-los com AES no modo CBC e enviá-los para um endereço IP codificado.
O aplicativo também possui recursos anti-depuração, anti-emulação e anti-teste que o protegem de pesquisadores e ferramentas de revisão de código.
O site falso está offline no momento da escrita deste.
No entanto, é provável que os atores da ameaça mudem para um novo domínio após a exposição de sua operação.
Uma maneira simples de distinguir entre as versões real e adulterada é revisar as permissões que o aplicativo solicita ao ser instalado ou às quais tem acesso caso já esteja instalado em seu dispositivo.
Para verificar isso, pressione e segure o ícone do aplicativo, selecione 'Informações do aplicativo' e toque em 'Permissões'.
Além disso, houve casos relatados de sequestros no aplicativo RedAlert original, com hacktivistas explorando falhas na API para enviar notificações falsas aos usuários.
Para minimizar a probabilidade de tais incidentes, certifique-se de estar usando a versão mais recente do aplicativo que inclui todas as correções de segurança disponíveis.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...