A maioria do malware destinado a smartphones tende a ter origem em indivíduos que procuram ganhar dinheiro rapidamente. Mas esse não é o caso de uma nova variedade de malware encontrada em dispositivos Android e iOS. De facto, investigadores de segurança acreditam que este malware se baseia em software de “intercepção legal”, utilizado por entidades governamentais e policiais.
A organização Security Without Borders detectou o malware Android, apelidado de Exodus. O instalador foi incluído dentro de APKs em vários sites de phishing, mas também em várias aplicações disponíveis na Play Store. Em ambos os casos, os utilizadores precisavam de instalar manualmente a aplicação, mas era muito mais difícil fazer isso em sites de phishing por causa dos recursos de segurança do Android.
O Exodus recolhe detalhes básicos sobre o telefone, incluindo IMEI e número de telefone. Depois ele envia os dados para um servidor de controlo. A fase seguinte consiste em vários pacotes binários destinados a rastrear o dispositivo. Um terceiro (e último) estágio usa uma vulnerabilidade no Linux chamado DirtyCOW para tentar aceder ao root, o que permitiria recolher todos os dados no telefone. Isto inclui palavras-passe, registos de conversas, contactos e gravações locais de áudio/vídeo.
As botas notícias são que a Google corrigiu esta vulnerabilidade em 2016, portanto, qualquer telefone actualizado recentemente está imune. Sem acesso à terceira fase, o Exodus só consegue aceder a dados já disponíveis para outras apps.
A variante iOS foi mais difícil de encontrar porque a distribuição era um tanto furtiva, mas acabou por ser detectada pelo antimalware da Lookout. Os invasores criaram sites a imitar websites de operadoras de telecomunicações italianas e turcas. Depois usaram o programa Enterprise Developer da Apple, que permite que as empresas instalem apps personalizadas nos dispositivos de funcionários. As apps fingiam ser de assistência da operadora, mas podiam aceder a dados como contactos, fotos e localização.
Pensa-se que o número de dispositivos infectados seja apenas na ordem das centenas ou milhares. e não parece constituir uma ameaça aos utilizadores globais de ambas as plataformas.
