Os investigadores da ESET descobriram o primeiro spyware criado nos alicerces do malware de código aberto AhMyth conhecido até ao momento, o qual escapou ao processo de análise de aplicações que a Google realiza.
A aplicação maliciosa, chamada Radio Balouch, também conhecida como RB Music, é na realidade uma aplicação de transmissão de rádio totalmente funcional para os entusiastas da música de Balouchi, exceto pelo facto de incluir uma funcionalidade adicional oculta: o roubo de dados pessoais dos seus utilizadores. A aplicação conseguiu superar os filtros e entrou de forma furtiva na loja oficial de aplicações Android por duas vezes, tendo a Google eliminado a mesma rapidamente em ambas as ocasiões depois da ESET alertar a empresa.
A AhMyth, a ferramenta de acesso remoto de código aberto da qual a aplicação Radio Balouch emprestou a sua funcionalidade maliciosa, está disponível para o público desde finais de 2017. Desde então, temos testemunhado várias aplicações maliciosas baseadas na mesma. No entanto, a aplicação Radio Balouch é a primeira a aparecer na loja oficial de aplicações para Android.
A solução ESET Mobile Security protege os utilizadores da AhMyth e dos seus derivados desde janeiro de 2017, e mesmo antes da AhMyth se ter tornado pública. Como a funcionalidade maliciosa na AhMyth não está oculta, é fácil identificar a aplicação Radio Balouch, e outros derivados, como maliciosa, e classificá-los como pertencentes à família AhMyth.
Para além da Google Play, o malware detetado pela ESET denominado de Android/Spy.Agent.AOX, esteve disponível nas lojas de aplicações alternativas. Para além disso, foi promovido num site web dedicado, através do Instagram e do YouTube. Informámos sobre a natureza maliciosa da campanha aos respetivos fornecedores de serviços, mas não recebemos resposta.
A Radio Balouch é uma aplicação de streaming de rádio totalmente funcional para músicas específicas na região de Balouchi (por uma questão de consistência, seguimos a ortografia usada na campanha; a transcrição mais comum é “Balochi” ou “Baluchi”). No entanto, a aplicação em segundo plano espia as suas vítimas.
No Google Play, descobrimos em duas ocasiões versões diferentes da aplicação maliciosa Radio Balouch e, em cada caso, a aplicação apresentava mais de 100 instalações. A 2 de julho de 2019, comunicámos à equipa de segurança do Google o aparecimento dessa aplicação na loja oficial de Android, tendo a mesma sido retirada em 24 horas.
No entanto, a 13 de julho, a aplicação maliciosa Radio Balouch reapareceu no Google Play. Uma vez detetada, a ESET tornou a reportar a sua presença, e foi rapidamente eliminada pela Google.
Depois de removida do Google Play, a aplicação de rádio maliciosa ficou disponível apenas em lojas de aplicações de terceiros. Foi também distribuída a partir de um site dedicado, radiobalouch [.]com e através de um link promovido a partir de uma conta do Instagram relacionada. Este servidor também foi usado para comunicações de spyware com o C&C (veja abaixo). O domínio foi registado a 30 de março de 2019 e, depois de ser denunciado, foi dado baixa do mesmo.
No entanto, a conta do Instagram dos invasores ainda serve um link para o aplicativo que foi removido do Google Play. Eles também criaram um canal no YouTube com um vídeo que apresenta o aplicativo; embora aparentemente eles não estejam promovendo, já que o vídeo tem pouco mais de 20 visitas.
Funcionalidade
A aplicação maliciosa Radio Balouch funciona em Android 4.2 e superior. A sua funcionalidade de rádio na Internet é fornecida com a funcionalidade do AhMyth na aplicação maliciosa.
Após a instalação, o componente de rádio da Internet fica totalmente funcional e reproduz uma transmissão de música Balouchi. No entanto, a funcionalidade maliciosa adicionada permite que a aplicação roube contactos, consiga o acesso a arquivos armazenados no dispositivo e envie mensagens SMS do dispositivo afetado.
A funcionalidade para roubar mensagens SMS armazenadas no dispositivo também está presente. No entanto, essa funcionalidade não pode ser usada, pois as recentes restrições do Google permitem apenas que a aplicação de SMS predefinida aceda a essas mensagens.
Como o AhMyth tem mais variantes cujas funcionalidades variam, a aplicação Radio Balouch e qualquer outro malware baseado nessa ferramenta de espionagem de código aberto pode obter mais funções no futuro através de uma atualização.
Após a execução, os utilizadores escolhem o seu idioma preferido (inglês ou farsi). Na próxima etapa, a aplicação começa a solicitar permissões. Primeiro, solicita acesso aos arquivos no dispositivo, que é uma permissão legítima para uma aplicação de rádio para ativar a sua funcionalidade, se for rejeitado o rádio não funcionará.
De seguida, a aplicação solicita permissão para aceder aos contactos. Aqui, para camuflar a solicitação desta permissão, sugere que essa funcionalidade seja necessária caso o utilizador decida partilhar a aplicação com a sua lista de contactos. Se o utilizador se recusar a conceder permissões de acesso aos contactos, a aplicação funcionará de qualquer maneira.
Depois da configuração, a aplicação abre o seu ecrã inicial com opções de música e oferece a opção de registar e fazer login. No entanto, não importa quais os dados que são inseridos, pois o que for inserido levará o utilizador ao estado “ligado”. Provavelmente, esta etapa foi adicionada para obter as credenciais das vítimas e tentar entrar noutros serviços usando as passwords obtidas, um lembrete para nunca reutilizar as passwords nos serviços. Observação: as credenciais são transmitidas sem qualquer encriptação, através de uma ligação HTTP.
Para a comunicação com o C&C, a Radio Balouch conta com o seu domínio (agora extinto) radiobalouch [.]com. É aqui que você envia as informações coletadas sobre as suas vítimas, especialmente informações sobre os dispositivos comprometidos e as listas de contactos das vítimas. Assim como as credenciais da conta, o tráfego com o C&C é transmitido sem qualquer encriptação através de uma ligação HTTP.
Conclusão
O aparecimento (repetido) do malware Radio Balouch no Google Play deveria servir de alerta para a equipa de segurança do Google e para os utilizadores de Android. A menos que o Google melhore os seus recursos de proteção, um novo clone do Radio Balouch ou qualquer outro derivado do AhMyth poderá aparecer na Google Play.
Embora a recomendação de fazer download de aplicações de fontes oficiais seja mantida, isto também não garante uma total segurança. Portanto, é altamente recomendável que os utilizadores analisem cada aplicação que pretendam instalar nos seus dispositivos e utilizem uma solução de segurança móvel de confiança.
Indicadores de Compromisso (IoCs)
