Trojan Sneaky DogeRAT se disfarça como apps populares e mira Android de usuários indianos
30 de Maio de 2023

Um novo trojan de acesso remoto de código aberto (RAT), chamado DogeRAT, ataca principalmente usuários de Android na Índia como parte de uma campanha sofisticada de malware.

O malware é distribuído via mídias sociais e plataformas de mensagens sob a aparência de aplicativos legítimos como Opera Mini, OpenAI ChatGOT e versões premium do YouTube, Netflix e Instagram.

"Uma vez instalado no dispositivo da vítima, o malware ganha acesso não autorizado a dados sensíveis, incluindo contatos, mensagens e credenciais bancárias", disse a empresa de cibersegurança CloudSEK em um relatório na segunda-feira.

"Ele também pode assumir o controle do dispositivo infectado, permitindo ações maliciosas como enviar mensagens de spam, fazer pagamentos não autorizados, modificar arquivos e até mesmo capturar fotos remotamente através das câmeras do dispositivo".

O DogeRAT, como muitas outras ofertas de malware como serviço (MaaS), é promovido pelo seu desenvolvedor baseado na Índia através de um canal do Telegram que tem mais de 2.100 assinantes desde que foi criado em 9 de junho de 2022.

Isso inclui uma assinatura premium que é vendida por preços muito baixos ($30) com capacidades adicionais como tirar capturas de tela, roubar imagens, capturar conteúdo da área de transferência e registrar teclas digitadas.

Em uma tentativa de torná-lo mais acessível a outros atores criminosos, a versão gratuita do DogeRAT foi disponibilizada no GitHub, juntamente com capturas de tela e tutoriais em vídeo mostrando suas funções.

"Não endossamos nenhum uso ilegal ou antiético desta ferramenta", afirma o desenvolvedor no arquivo README.md do repositório.

"O usuário assume toda a responsabilidade pelo uso deste software".

Após a instalação, o malware baseado em Java solicita permissões intrusivas para realizar seus objetivos de coleta de dados, antes de exfiltrá-lo para um bot do Telegram.

"Esta campanha é um lembrete contundente da motivação financeira que impulsiona os golpistas a evoluírem continuamente suas táticas", disse o pesquisador da CloudSEK Anshuman Das.

"Eles não se limitam a criar sites de phishing, mas também distribuem RATs modificados ou reutilizam aplicativos maliciosos para executar campanhas de golpes que são de baixo custo e fáceis de configurar, mas produzem altos retornos".

As descobertas vêm à tona enquanto a Mandiant, pertencente ao Google, detalhou um novo backdoor para Android chamado LEMONJUICE que foi projetado para habilitar o controle remoto e o acesso a um dispositivo comprometido.

"O malware é capaz de rastrear a localização do dispositivo, gravar o microfone, recuperar listas de contatos, acessar logs de chamadas, SMS, área de transferência e notificação, visualizar aplicativos instalados, baixar e enviar arquivos, visualizar o status de conectividade e executar comandos adicionais do servidor C2", disse o pesquisador Jared Wilson.

Em um desenvolvimento relacionado, a Doctor Web descobriu mais de 100 aplicativos contendo um componente de spyware chamado SpinOk que foram baixados coletivamente mais de 421 milhões de vezes via Google Play Store.

O módulo, que é distribuído como um kit de desenvolvimento de software de marketing (SDK), é projetado para coletar informações sensíveis armazenadas nos dispositivos e copiar e substituir o conteúdo da área de transferência.

Alguns dos aplicativos mais populares que foram encontrados contendo o trojan SpinOk são Noizz, Zapya, VFly, MVBit, Biugo, Crazy Drop, Cashzine, Fizzo Novel, CashEM e Tick.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...