SpyNote, BadBazaar e MOONSHINE: malwares miram usuários Android e iOS por meio de aplicativos falsos

Pesquisadores de cibersegurança descobriram que grupos hackers estão criando sites falsos, hospedados em domínios recém-registrados, para distribuir o malware SpyNote, conhecido por infectar dispositivos Android.

Esses sites fraudulentos imitam páginas de instalação da Google Play Store, oferecendo supostos aplicativos populares como o navegador Chrome, com o objetivo de enganar os usuários e levá-los a instalar o malware. De acordo com o time de investigações da DomainTools (DTI), os hackers utilizam sites em inglês e chinês e até inserem comentários em chinês no código das páginas e do próprio malware.

O SpyNote (também chamado de SpyMax) é um trojan de acesso remoto (RAT) com histórico de roubo de dados sensíveis em dispositivos Android, explorando permissões do sistema de acessibilidade. Em maio de 2024, ele foi disseminado por meio de outro site falso que se passava por uma versão legítima do antivírus Avast. A empresa Zimperium encontrou similaridades entre o SpyNote e o malware Gigabud, sugerindo que podem ter origem no mesmo grupo hacker — identificado como GoldFactory, falante de chinês.

O SpyNote também já foi utilizado por grupos patrocinados por Estados, como o OilAlpha, além de outros hackers não identificados. Os sites clonados identificados pela DTI apresentavam um carrossel de imagens que, ao serem clicadas, baixavam um APK malicioso. Esse arquivo agia como “dropper”, instalando uma segunda carga (payload) por meio de um método que executa o malware ao clicar em uma caixa de diálogo.

Uma vez instalado, o malware solicita permissões invasivas e passa a ter controle amplo sobre o dispositivo, podendo roubar mensagens SMS, contatos, registros de chamadas, localização e arquivos, além de ativar a câmera, o microfone, manipular chamadas e executar comandos remotamente.

O alerta surge no momento em que a Lookout reporta mais de 4 milhões de ataques de engenharia social em dispositivos móveis em 2024, sendo 427 mil aplicativos maliciosos detectados em ambientes corporativos e mais de 1,6 milhão de apps considerados vulneráveis. Pela primeira vez, usuários de iOS foram mais atacados que os de Android, com o dobro de exposições.

Agências de Inteligência alertam sobre BadBazaar e MOONSHINE

Além disso, agências de ciberinteligência da Austrália, Canadá, Alemanha, Nova Zelândia, Reino Unido e EUA emitiram um comunicado conjunto alertando sobre o uso dos malwares BadBazaar e MOONSHINE contra comunidades uigur, taiwanesa e tibetana. Os alvos incluem ONGs, jornalistas, empresas e membros da sociedade civil ligados a esses grupos. As autoridades destacam que, devido à forma indiscriminada de disseminação desses spywares, existe o risco de infecção além dos alvos pretendidos.

Ambos os malwares são trojans capazes de coletar dados sensíveis de dispositivos Android e iOS, como mensagens, localização, fotos e arquivos, e são distribuídos por meio de apps falsos que se disfarçam de mensageiros, utilitários ou aplicativos religiosos. O BadBazaar, documentado pela Lookout desde 2022, está em atividade desde pelo menos 2018 e é atribuído ao grupo hacker chinês APT15, também conhecido como Flea, Royal APT, e outros codinomes. Já o MOONSHINE tem sido usado pelo grupo Earth Minotaur para vigilância prolongada de tibetanos e uigures.

Mesmo com capacidades mais limitadas no iOS, o BadBazaar ainda consegue extrair dados pessoais. O MOONSHINE, por sua vez, exfiltra dados para uma infraestrutura controlada pelos hackers, acessada via o painel SCOTCH ADMIN — que mostra detalhes dos dispositivos comprometidos. Até janeiro de 2024, mais de 635 dispositivos estavam registrados nesses painéis. Em um caso relacionado, as autoridades da Suécia prenderam Dilshat Reshit, um porta-voz do Congresso Mundial Uigur, sob suspeita de espionar outros membros da comunidade no país.

Via - THN