Desenvolvedores recorrem ao crimeware e lançam DroidJack RAT após seu aplicativo Android falhar

Tabela de Conteúdos

• Desenvolvedores recorrem ao crimeware e lançam DroidJack RAT após seu aplicativo Android falhar
• Raízes legítimas
• Raízes indianas rastreadas
• Capacidades
• Outros casos

Desenvolvedores recorrem ao crimeware e lançam DroidJack RAT após seu aplicativo Android falhar

Pesquisadores da Symantec têm analisado uma nova Ferramenta de Acesso Remoto (RAT) para Android chamada DroidJack, que pode ter começado como um aplicativo na loja Google Play. Os desenvolvedores que a Symantec rastreou até a Índia estavam aparentemente desapontados com a falha do aplicativo do Google em decolar. A falha os impulsionou para o mundo não intencional do crimeware e transformou o aplicativo em uma ferramenta para criminosos cibernéticos.

Raízes legítimas

Pesquisadores da Symantec têm monitorado a evolução da ameaça, que foi lançada pela primeira vez em abril de 2013 no Google Play como Sandroid, um aplicativo legítimo para controlar PCs a partir de um smartphone Android. Mas o aplicativo aparentemente não conquistou o gosto dos usuários de Android e caiu na obscuridade. No final de dezembro do ano passado, os usuários espalharam notícias sobre a disponibilidade de uma ferramenta RAT em um fórum de hackers. Esta ferramenta identificada como SandroRAT McAfee foi anunciada como um aplicativo Android que poderia ser usado para controlar smartphones a partir de um computador. O SandroRAT era na verdade uma Ferramenta de Acesso Remoto Android completa que visava usuários bancários através de e-mails de phishing e roubava suas credenciais. O anúncio redirecionou o usuário para o aplicativo na Play Store. Este aplicativo foi scrutinizado por pesquisadores quando começou a ser espalhado via spam em nome de um aplicativo de segurança da Kaspersky. SandroRAT infectou muitos usuários na Europa, especialmente na Polônia, antes de ser trazido à atenção de todos os envolvidos e removido. No entanto, o SandroRAT está longe de estar morto e enterrado.

De acordo com a Symantec, o DroidJack (detectado pela empresa como Android.Sandorat) é a versão mais recente do SandroRAT. Foi anunciado em 27 de junho de 2014 no mesmo fórum de hackers e pela mesma pessoa que ofereceu vender o SandroRAT. O DroidJack é vendido em seu próprio site por $210, o custo de um pacote vitalício.

Raízes indianas rastreadas

Pesquisadores analisaram a conexão entre DroidJack, SandroRAT e o aplicativo Sandroid e rastrearam seus desenvolvedores até a Índia. “Se o autor ou autores do DroidJack pretendiam encobrir suas trilhas, não fizeram um bom trabalho. Algumas investigações simples levam de volta aos nomes e números de telefone de vários indivíduos inicialmente envolvidos na criação do Sandroid, supostamente baseados em Chennai, na Índia,” escreveu Peter Coogan da Symantec em um post no blog.

Adicionando combustível ao fogo, há um vídeo promocional da ferramenta que mostra o GPS apontando para um local popular na Índia. No entanto, especialistas também observam que pode não haver uma conexão real entre o RAT e o Sandroid, exceto a semelhança no nome. O DroidJack é um RAT sofisticado que funciona sem precisar de acesso root, e pode ser empacotado com qualquer jogo ou aplicativo legítimo. A ferramenta pode ser utilizada para coletar principalmente detalhes bancários no dispositivo comprometido, instalar APKs, copiar arquivos para um computador, visualizar mensagens, escutar chamadas telefônicas, listar contatos, gravar áudio e vídeo via microfone e câmera, e obter a localização GPS do telefone.

Capacidades

O DroidJack possui recursos semelhantes a outros RATs Android, como AndroRAT e Dendroid. Algumas das mais de 50 funcionalidades oferecidas incluem as seguintes:

Nenhum acesso root necessário
Vincular o APK do servidor DroidJack com qualquer outro jogo ou aplicativo
Instalar qualquer APK e atualizar o servidor
Copiar arquivos do dispositivo para o computador
Visualizar todas as mensagens no dispositivo
Escutar conversas telefônicas feitas no dispositivo
Listar todos os contatos no dispositivo
Escutar ao vivo ou gravar áudio do microfone do dispositivo
Obter controle da câmera no dispositivo
Obter número IMEI, endereço MAC do Wi-Fi e detalhes da operadora de celular
Obter a última verificação de localização GPS do dispositivo e mostrá-la no Google Maps

Os desenvolvedores do DroidJack incluíram um aviso em seu site afirmando que não incentivam o uso do aplicativo para fins ilegítimos, mas essa tática realmente não funciona.

Outros casos

Em setembro deste ano, o criador do StealthGenie foi indiciado nos EUA. O criador – um nacional paquistanês – anunciou o aplicativo como um meio de espionar cônjuges infiéis. Mais tarde, mudaram para uma ferramenta de monitoramento parental, afirmando que os usuários precisavam obter permissão por escrito da pessoa alvo.

Agências de aplicação da lei de todo o mundo estão envolvidas em operações visando RATs. Em maio, 100 pessoas foram presas como parte de operações globais visando usuários do RAT BlackShades.