Falso aplicativo 'RedAlert' de alerta de foguete para Israel instala spyware no Android
17 de Outubro de 2023

Usuários de Android em Israel estão sendo alvos de uma versão maliciosa do aplicativo 'RedAlert - Rocket Alerts', que, embora ofereça a funcionalidade prometida, age como um spyware em segundo plano.

RedAlert - Rocket Alerts é um aplicativo de código aberto legítimo usado por cidadãos israelenses para receber notificações de foguetes direcionados ao país.

O aplicativo é extremamente popular, com mais de um milhão de downloads no Google Play.

Desde que os terroristas do Hamas lançaram seu ataque no sul de Israel na semana passada, envolvendo milhares de foguetes, o interesse no aplicativo explodiu à medida que as pessoas procuravam alertas oportunos sobre ataques aéreos em sua área.

De acordo com a Cloudflare, hackers de origem e motivação desconhecida estão aproveitando o aumento do interesse no aplicativo e o medo dos ataques para distribuir uma versão falsa que instala spyware.

Esta versão maliciosa está sendo distribuída a partir do site "redalerts[.]me", que foi criado em 12 de outubro de 2023, e inclui dois botões para download do aplicativo para as plataformas iOS e Android.

O download para iOS redireciona o usuário para a página legítima do projeto na Apple App Store, mas o botão do Android faz download direto de um arquivo APK para ser instalado no dispositivo.

O APK baixado utiliza o código legítimo do aplicativo RedAlert original, então contém todas as funcionalidades regulares e aparece como uma ferramenta legítima de alerta de foguetes.

No entanto, a Cloudflare descobriu que o aplicativo solicita permissões adicionais das vítimas, incluindo acesso aos contatos do usuário, números, conteúdo de SMS, lista de software instalado, registros de chamadas, IMEI do telefone, contas de e-mail e do aplicativo logadas, e mais.

Após o lançamento, o aplicativo inicia um serviço em segundo plano que abusa dessas permissões para coletar dados, criptografá-los com AES no modo CBC e enviá-los para um endereço IP codificado.

O aplicativo também possui recursos anti-depuração, anti-emulação e anti-teste que o protegem de pesquisadores e ferramentas de revisão de código.

O site falso está offline no momento da escrita deste.

No entanto, é provável que os atores da ameaça mudem para um novo domínio após a exposição de sua operação.

Uma maneira simples de distinguir entre as versões real e adulterada é revisar as permissões que o aplicativo solicita ao ser instalado ou às quais tem acesso caso já esteja instalado em seu dispositivo.

Para verificar isso, pressione e segure o ícone do aplicativo, selecione 'Informações do aplicativo' e toque em 'Permissões'.

Além disso, houve casos relatados de sequestros no aplicativo RedAlert original, com hacktivistas explorando falhas na API para enviar notificações falsas aos usuários.

Para minimizar a probabilidade de tais incidentes, certifique-se de estar usando a versão mais recente do aplicativo que inclui todas as correções de segurança disponíveis.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...