Um novo trojan de acesso remoto de código aberto (RAT), chamado DogeRAT, ataca principalmente usuários de Android na Índia como parte de uma campanha sofisticada de malware.
O malware é distribuído via mídias sociais e plataformas de mensagens sob a aparência de aplicativos legítimos como Opera Mini, OpenAI ChatGOT e versões premium do YouTube, Netflix e Instagram.
"Uma vez instalado no dispositivo da vítima, o malware ganha acesso não autorizado a dados sensíveis, incluindo contatos, mensagens e credenciais bancárias", disse a empresa de cibersegurança CloudSEK em um relatório na segunda-feira.
"Ele também pode assumir o controle do dispositivo infectado, permitindo ações maliciosas como enviar mensagens de spam, fazer pagamentos não autorizados, modificar arquivos e até mesmo capturar fotos remotamente através das câmeras do dispositivo".
O DogeRAT, como muitas outras ofertas de malware como serviço (MaaS), é promovido pelo seu desenvolvedor baseado na Índia através de um canal do Telegram que tem mais de 2.100 assinantes desde que foi criado em 9 de junho de 2022.
Isso inclui uma assinatura premium que é vendida por preços muito baixos ($30) com capacidades adicionais como tirar capturas de tela, roubar imagens, capturar conteúdo da área de transferência e registrar teclas digitadas.
Em uma tentativa de torná-lo mais acessível a outros atores criminosos, a versão gratuita do DogeRAT foi disponibilizada no GitHub, juntamente com capturas de tela e tutoriais em vídeo mostrando suas funções.
"Não endossamos nenhum uso ilegal ou antiético desta ferramenta", afirma o desenvolvedor no arquivo README.md do repositório.
"O usuário assume toda a responsabilidade pelo uso deste software".
Após a instalação, o malware baseado em Java solicita permissões intrusivas para realizar seus objetivos de coleta de dados, antes de exfiltrá-lo para um bot do Telegram.
"Esta campanha é um lembrete contundente da motivação financeira que impulsiona os golpistas a evoluírem continuamente suas táticas", disse o pesquisador da CloudSEK Anshuman Das.
"Eles não se limitam a criar sites de phishing, mas também distribuem RATs modificados ou reutilizam aplicativos maliciosos para executar campanhas de golpes que são de baixo custo e fáceis de configurar, mas produzem altos retornos".
As descobertas vêm à tona enquanto a Mandiant, pertencente ao Google, detalhou um novo backdoor para Android chamado LEMONJUICE que foi projetado para habilitar o controle remoto e o acesso a um dispositivo comprometido.
"O malware é capaz de rastrear a localização do dispositivo, gravar o microfone, recuperar listas de contatos, acessar logs de chamadas, SMS, área de transferência e notificação, visualizar aplicativos instalados, baixar e enviar arquivos, visualizar o status de conectividade e executar comandos adicionais do servidor C2", disse o pesquisador Jared Wilson.
Em um desenvolvimento relacionado, a Doctor Web descobriu mais de 100 aplicativos contendo um componente de spyware chamado SpinOk que foram baixados coletivamente mais de 421 milhões de vezes via Google Play Store.
O módulo, que é distribuído como um kit de desenvolvimento de software de marketing (SDK), é projetado para coletar informações sensíveis armazenadas nos dispositivos e copiar e substituir o conteúdo da área de transferência.
Alguns dos aplicativos mais populares que foram encontrados contendo o trojan SpinOk são Noizz, Zapya, VFly, MVBit, Biugo, Crazy Drop, Cashzine, Fizzo Novel, CashEM e Tick.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...