Spyware Furtivo Kamran visando usuários que falam Urdu em Gilgit-Baltistan
10 de Novembro de 2023

Leitores que falam urdu de um site de notícias regional que atende à região de Gilgit-Baltistan provavelmente se tornaram um alvo de um ataque de watering hole projetado para entregar um spyware Android anteriormente não documentado chamado Kamran.

A campanha, descoberta pela ESET, aproveita o Hunza News (urdu.hunzanews[.]net), que, quando aberto em um dispositivo móvel, solicita aos visitantes da versão em urdu que instalem seu aplicativo Android diretamente hospedado no site.

No entanto, o aplicativo incorpora capacidades de espionagem maliciosas, com o ataque comprometendo pelo menos 20 dispositivos móveis até o momento.

Está disponível no site desde algum tempo entre 7 de janeiro e 21 de março de 2023, por volta de quando foram realizados protestos massivos na região sobre direitos de terra, impostos e cortes de energia extensos.

O malware, ativado na instalação do pacote, solicita permissões intrusivas, permitindo coletar informações sensíveis dos dispositivos.

Isso inclui contatos, registros de chamadas, eventos de calendário, informações de localização, arquivos, mensagens SMS, fotos, lista de aplicativos instalados e metadados do dispositivo.

Os dados coletados posteriormente são enviados para um servidor de comando e controle (C2) hospedado no Firebase.

Kamran não possui capacidades de controle remoto e também é simplista por design, realizando suas atividades de exfiltração apenas quando a vítima abre o aplicativo e não possui provisões para acompanhar os dados já transmitidos.

Isso significa que ele envia repetidamente as mesmas informações, juntamente com qualquer novo dado que atenda aos seus critérios de pesquisa, para o servidor C2.

Kamran ainda não foi atribuído a nenhum ator ou grupo de ameaças conhecidos.

"Como esse aplicativo malicioso nunca foi oferecido na Google Play store e é baixado de uma fonte não identificada referida como desconhecida pelo Google, para instalar este aplicativo, é solicitado ao usuário que ative a opção de instalar aplicativos de fontes desconhecidas", disse o pesquisador de segurança Lukáš Štefanko.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...