Uma nova ameaça para celulares Android se disfarça de apps com conteúdo adulto ou relacionados à covid-19 para espionar a atividade no smartphone. O grupo Transparent Tribe, especializado em técnicas de engenharia social, agora explora usuários distraídos com apps parecidos com aplicativos oficiais.

Sob vigilância da Kaspersky há mais de quatro anos, a Transparent Tribe passou a adotar malwares disfarçados de apps com conteúdo adulto e aplicativos oficiais com informações sobre a covid-19 para atacar um número maior de celulares.

Segundo a Kaspersky, a companhia tem trabalhado ativamente para aprimorar seu conjunto de ferramentas e expandir o alcance dos ataques para maximizar seu impacto. Um dos exemplos das novas práticas é um novo app falso para rastreamento de covid-19, lançado na Índia e outro de conteúdo pornográfico.

Downloads de apps em fontes desconhecidas é a principal forma de distribuição do app falso.

A descoberta parte da correlação entre os apps: ambos redirecionam para o mesmo domínio, conhecido de ser de posse do grupo Transparent Tribe. O primeiro app é simplesmente uma versão modificada de um player de vídeo com código aberto para Android; enquanto o segundo é semelhante a um app de rastreamento da covid-19 lançado pelo governo indiano.

Assim que instalados, eles exibem conteúdo como distração e tentam instalar outro pacote de arquivos Android — uma modificação de ferramentas de acesso remoto batizado de Android AhMyth. Essa versão inclui os recursos conhecidos da ferramenta, incluindo a capacidade de baixar novos apps; acessar mensagens SMS; microfone; registro de chamadas; GPS e roubo de arquivos.

“As constatações reforçam o empenho dos membros da Transparent Tribe para adicionar novas ferramentas para expandir ainda mais suas operações e alcançar suas vítimas por diferentes vetores de ataque, que agora incluem dispositivos móveis.”, comenta Giampaolo Dedola, pesquisador sênior de segurança da Kaspersky.

Como recomendação, o profissional recomenda que todos os usuários estejam atentos às fontes de download de conteúdo, nunca confiando em links de terceiros ou downloads em e-mails. Mais detalhes sobre as ameaças liberadas pela Transparent Tribe estão descritos no relatório completo na Securelist.