App de notícias falsas do vazamento do Hacking Team burla Google Play
A Trend Micro, especializada na defesa de ameaças digitais, encontrou a amostra de um aplicativo de notícias falsas que parece ter sido projetado para evitar o filtro do Google Play. Isso aconteceu após a notícia de que os dispositivos iOS estavam em risco de um spyware relacionado ao Hacking Team. O aplicativo de notícias falsas foi baixado até 50 vezes antes de ser removido do Google Play, no dia 7 de julho.
O app “BeNews” é um aplicativo backdoor que usa o nome do site de notícias extinto “BeNews” para parecer legítimo. Foi encontrado o código fonte do backdoor no vazamento, incluindo um documento que ensina aos clientes como usá-lo. A Trend Micro acredita que o Hacking Team fornecia o aplicativo aos clientes para ser usado como uma isca para baixar o malware RCSA para Android no dispositivo-alvo.
O backdoor, ANDROIDOS_HTBENEWS.A, pode afetar as versões Android, do Froyo 2.2 até o KitKat4.4.4, mas não se limita só a elas. Ele explora a vulnerabilidade local de escalação de privilégio CVE-2014-3153 nos dispositivos Android. Essa falha foi usada pela ferramenta root exploit TowellRoot para burlar a segurança do dispositivo, deixando-o aberto ao download de malware, permitindo acesso para agressores remotos.
De acordo com as observações das rotinas do app, acredita-se que o aplicativo possa- burlar as restrições do Google Play usando uma tecnologia de carregamento dinâmico. Inicialmente, ele apenas pede três permissões e pode ser considerado seguro para os padrões de segurança do Google, já que nenhum código de exploração é encontrado no aplicativo. Porém a tecnologia de carregamento dinâmico permite que o app baixe e execute um código parcial a partir da Internet. O código não será carregado enquanto o Google está verificando o aplicativo mas enviará o código assim que a vítima comece a usá-lo.
