A plataforma Android é a mais utilizada em todo o mundo e, dessa maneira, é um alvo extremamente apetecível. Ainda que a Google reforce incansavelmente as linhas de defesa da sua Google Play Store, continuam a surgir as pontuais ameaças de malware. Agora, temos um novo caso com o malware Exodus.
A ameaça foi detetada em mais de 20 apps dentro da Google Play Store e o caso fica particularmente interessante quando se encontra a origem deste malware. De acordo com a fonte, o Exodus nasceu na Itália.
Com efeito, e de acordo com a pesquisa encetada pela empresa Security Without Borders, a ameaça pode ter ligações ao governo italiano. Ainda que estas ramificações não sejam claras, o relatório indica que o malware foi concebido pela empresa eSurv que, entretanto, já removeu a sua página pública (site) e redes sociais.
O Exodus estava presente em 20 apps para Android
Ao mesmo tempo, o alerta foi emitido por vários meios como o MalwareTips, expondo a seriedade do caso em mãos. Contudo, à data de redação deste artigo (3 de abril), as apps já foram removidas da Google Play Store. Ainda de acordo com o relato inicial, a ameaça era séria, mas tinha algumas falhas.
Mais concretamente, o malware Exodus consistia num poderoso spyware (software espião), inquinado de algumas imperfeições que permitiram a sua deteção. A sua eficácia prendia-se com o facto de se mascarar de apps distribuídas pelas operadoras de telecomunicações na Itália. Dessa forma, não levantando suspeitas.
A entidade responsável pelo seu desenvolvimento, a eSurv, empresa sediada na Itália, teria relações comerciais com o governo italiano. Contudo, de momento é impossível encontrar qualquer rasto da mesma, tendo apagado até o seu canal de YouTube ou perfil de LinkdIn, em síntese, qualquer pegada digital.
A ameaça pode ter infetado milhares de dispositivos Android
Ainda de acordo com o testemunho da agência de segurança, as estimativas apontam para “várias centenas, senão mesmo milhares de dispositivos infetados“. O caso torna-se assim mais bicudo, sobretudo quando nos inteiramos do seu modo de ação e infeção dos dispositivos Android.
Existindo dois elementos para o spyware, apelidados de Exodus One e Exodus Two. Em primeiro lugar, o One validaria o alvo, confirmando a suscetibilidade de ser afetado ao recolher várias dados do mesmo, desde o IMEI a informações de rede. Aí, caso detete os requisitos ideais para uma infeção, o pacote era descarregado para o dispositivo móvel, porém, aí permanecia dormente.
Em seguida, o sinal para a sua ativação chegava com o Exodus Two. Já o seu principal componente era um ficheiro “mike.jar”, além de vários outros utilitários para os mais diversos fins. Incluindo aqui um “rootdaemon” que concedia permissões de raiz com a finalidade de recolher todos os dados do utilizador.
O Exodus era um poderoso spyware
O relatório aponta várias capacidades e ramificações nas suas capacidades de recolha de dados. Algo que compreendia desde a lista de apps instaladas, o historio de navegação na web, a lista de contactos telefónicos, todos os contactos do Facebook, dados de registo, extratos bancários, bem como a localização GPS.
Aliás, o malware podia até ativar o microfone a seu bel-prazer, escutando o que se passava em seu redor através do dispositivo Android. De igual modo, podia colher o registo das comunicações via WhatsApp e até mesmo a chave de encriptação do Telegram. Nem mesmo o Viber estava a salvo. Ou o Skype, para esse efeito.
O utilizador nunca se apercebia de nada, entretanto, as informações eram armazenadas (XORed) numa pasta chamada .lost+found no armazenamento externo, o cartão microSD. Contudo, logo que possível toda essa informação era enviada, através de uma conexão TLS, para um servidor remoto (centro de comando).
Foi detetado em mais de 20 apps na Google Play Store
O mais recente flagelo na Google Play Store era assustadoramente eficaz com a finalidade de recolher os dados. Porém, a sua implementação estava inquinada com algumas falhas que permitiram a sua deteção. A agência de segurança detalha o processo suspeito de aquisição de privilégios de raiz (root). Além disso, o consequente envio das informações foram outro dos pontos que levaram à sua deteção.
Agora, caso as suspeitas de que o Exodus tenha sido criado por uma das agências governamentais italianas, podemos estar perante o primeiro capítulo de um novo escândalo. A promessa é feita Security Without Borders que também está a investigar o caso. Em causa está a possibilidade deste spyware ter sido encomendado, desenvolvido e distribuído por uma entidade ligada ao Estado italiano.
Entretanto, a imprensa italiana já relatou que o provedor Antonello Soro está a acompanhar a situação. É totalmente impensável que uma ferramenta destas tenha sido criada para vigiar os cidadãos e qualquer infeliz que descarregasse uma das apps infetadas na Google Play Store.
Pior ainda, este malware não foi detetado pelos filtros da Google. Algo que tornou possível a distribuição de mais de 20 apps contendo a ameaça na Google Play Store. Em síntese, as implicâncias do caso ainda não são conhecidas, porém, será acompanhado no Pplware.