Segurança > Cibercrime

Malware se passa por jogo adulto e ataca usuários Windows e Android

ameaça foi identificada pela Trend Micro, que explica que os usuários foram infectados com o spyware a partir de site que distribui aplicativos maliciosos

11 de Maio de 2018 - 10h09

Uma família de malware chamada Maikspy rodou um spyware multiplataforma que pode roubar dados privados de suas vítimas. Ele ataca usuários do Windows e do Android e, inicialmente, se passa por um jogo adulto, o Virtual Girlfriend. A ameaça foi identificada pela empresa de cibersegurança Trend Micro, que explica que os usuários foram infectados com o spyware a partir da página hxxp://miakhalifagame[.]com/, um site que distribui aplicativos maliciosos (incluindo o jogo adulto de 2016) e se conecta ao seu servidor C&C para fazer o upload dos dados de dispositivos e máquinas infectadas.

Ainda segundo a empresa, foram encontrados vários links no Twitter que promoviam o jogo adulto e compartilhavam o domínio malicioso por meio de links curtos.

Android

Com base na análise das amostras, vistas pela última vez em março de 2018, a variante Maikspy (detectada pela Trend Micro como AndroidOS_MaikSpy.HRX) é executada no Android e se passa pelo jogo Virtual Girlfriend para atrair usuários a visitar o domínio malicioso dos atacantes.

Quando os usuários abrem a versão do link curto do domínio compartilhado no Twitter, aparece uma página com opções de escolha do gênero, seguida por uma página que permite que os usuários escolham sua “primeira namorada virtual” levando-os à página de download.

Ao baixar e iniciar o arquivo APK, é enviado o timestamp Unix do dispositivo infectado para 0046769438867, um número de telefone que contém o código da Suécia.

Posteriormente, o aplicativo Maikspy exibe a mensagem “Error: 401. App not compatible. Uninstalling…” para tentar enganar o usuário e fazê-lo pensar que o aplicativo já foi removido do dispositivo.

No entanto, o spyware apenas se esconde e é executado em segundo plano. Na sequência, o aplicativo malicioso primeiro verifica as permissões necessárias e prossegue com sua rotina: roubar desde o número de telefone, até as contas, lista de aplicativos instalados e mensagens SMS.

As informações roubadas são gravadas nos formatos .txt ou .csv antes de serem enviadas para o servidor C&C. Após coletar e enviar os dados sequestrados, o app verifica o comando (CMD) do servidor C&C a cada 60 segundos.

Windows

No caso da variante Windows (WORM_INFOKEY.A) do Maikspy, vista pela última vez em abril de 2017, o usuário é induzido a baixar um arquivo MiaKhalifa.rar.

O README.txt fornece instruções ensinando os usuários a desativar o software antivírus e se conectar à rede, algo necessário para que o invasor roube e envie os dados para seu servidor C&C.

O register.bat é usado para obter privilégios de administrador.

O Uninstall.exe é uma cópia da ferramenta de hacking de código aberto Mimikatz (https://github[.]com/gentilkiwi/mimikatz), que consegue extrair senhas de texto simples, hashes, códigos PIN e tickets Kerberos da memória.

Aqui, o Uninstall.exe é usado para obter a conta e a senha do Windows e depois gravar o resultado em: C:\Users\%username%\AppData\local\password.txt.

Setup.exe é o principal módulo usado para roubar dados. Como o Android Maikspy, ele primeiro envia uma notificação ao seu servidor C&C para registrar o dispositivo.

O que fazer?

Fazer downloads apenas de lojas legítimas de aplicativos, como o Google Play, pode impedir que o Maikspy comprometa computadores e dispositivos móveis. Também é importante saber o que cada aplicativo pode acessar e entender os riscos antes de conceder certas permissões aos aplicativos.