Pesquisadores da Check Point Technologies descobriram que hackers que teriam vínculos com o governo do Egito usaram a Play Store, loja oficial da Google, para distribuir spywares em uma campanha que visava espionar jornalistas, advogados e políticos da oposição no país.
O aplicativo utilizado, o IndexY, representava um meio de procurar detalhes sobre números de telefone dessas pessoas.
A pesquisa revela que este app tentou acessar um banco de dados com mais de 160 milhões de números árabes no Egito. Seu principal objetivo era o acesso ao histórico de chamadas e aos contatos de um usuário.
O IndexY registrava se cada chamada era recebida, efetuada ou perdida, assim como sua data e duração. Os arquivos acessíveis deixados na indexy [.] Org, um domínio codificado no aplicativo, mostraram não apenas que os dados foram coletados, mas que os desenvolvedores analisaram e inspecionaram ativamente essas informações.
A análise incluiu números de telefone de usuários por país, detalhes do registro de chamadas e listas de ligações feitas de um país para outro.
O aplicativo, inclusive, foi parte de uma ampla e abrangente campanha de vigilância, que foi documentada pela primeira vez em março deste ano pela Anistia Internacional. Ele atingiu pessoas que eram opositoras ao atual governo do Egito e chegou a alertar a Google para alguns dos alvos de que “apoiadores do governo estão tentando roubar sua senha”.
Os hackers “foram capazes de fugir das proteções do Google“, disse Lots Finkelshtein, gerente do grupo de inteligência de ameaças da Check Point, em entrevista ao ARS Technica. Finkelshtein disse, também, que uma das maneiras pelas quais os invasores escaparam da verificação da Google pelo aplicativo foi que a análise e a inspeção dos dados ocorreram no servidor designado pelo invasor e não no telefone infectado.
O IndexY foi um dos pelo três malwares Android que a Check Point vinculou à campanha. Um aplicativo diferente, chamado de iLoud 200%, pretendia aumentar o volume de dispositivos, mesmo que não tivesse essa capacidade. Outro aplicativo, chamado v1.apk, foi enviado ao serviço de detecção de malware VirusTotal da Google, em fevereiro. Ele se comunicou com o domínio drivebackup [.] Co e parecia estar em uma fase inicial de teste.
Conforme documentado anteriormente pela Anistia Internacional, a campanha também usou aplicativos de terceiros que se conectavam às contas do Gmail e do Outlook usando o padrão OAuth.
Finkelshtein disse que os aplicativos conseguem roubar mensagens, mesmo quando as contas direcionadas são protegidas por autenticação dupla – além de uma senha, exigem uma chave de segurança física ou senha única produzida por um dispositivo.
O IndexY chegou a ter 5 mil instalações antes de a Google removê-lo da loja, em agosto. O Check Point, porém, não sabe quando o IndexY ficou disponível na Google Play e por quanto tempo.
// CanalTech