A Trend Micro identificou a amostra de um aplicativo de notícias falsas para a exploração do Android no vazamento dos dados da Hacking Team. Segundo a empresa de segurança, o “BeNews” (nome de um site de notícias extinto usado para atestar legitimidade) se trata de um backdoor projetado para evitar o filtro do Google Play. Ele foi baixado cerca de 50 vezes antes de sua remoção, no ultimo dia 7 de julho.

Os pesquisadores encontraram o código fonte do backdoor e um documento que ensinava aos clientes do Hacking Team a usá-lo, supostamente como isca para download do malware RCSA no dispositivo alvo. Rotulado como “core-android-market-master.zip”, o arquivo também traz uma conta pronta no Google Play para ser usada.

O backdoor ANDROIDOS_HTBENEWS.A explora a vulnerabilidade local de escalação de privilégio CVE-2014-3153 nos dispositivos Android (da versão Froyo 2.2 à KitKat 4.4.4). A mesma falha já foi usada pela ferramenta root exploit TowellRoot, deixando o aparelho exposto a download de malware e permitindo o acesso remoto de agressores.

Com base nas observações das rotinas do aplicativo, a TrendMicro acredita que ele use uma tecnologia de carregamento dinâmico para burlar as restrições do Google Play. De início, o app só pede 3 permissões e é considerado seguro, já que códigos de exploração não são identificados, mas a tecnologia de carregamento dinâmico faz o download e executa um código parcial a partir da internet. Enquanto a Play Store verifica o aplicativo, o código não é carregado, mas é enviado quando as vítimas passam a usá-lo.

Para se protegerem de ameaças semelhantes, é importante que os usuários finais se mantenham alertas às atualizações de segurança.

Fonte: IDG Now!