O novo malware é dado pelo nome de "ViceLeaker", e é uma nova campanha que foi descoberta com capacidades sofisticadas de backdoor de forma a invadir a câmara do dispositivo, apagar ficheiros, gravar o som, etc.

Do que se observou durante as investigações levadas a cabo pela Kaspersky, as amostras parecem ser levantadas a partir de um software open source, o cliente Jabber/XMPPP "Conversations", que é uma versão legítima da aplicação para Android.

De forma a modificaram a aplicação original e adicionarem estas funcionalidades maliciosas, foi usada a ferramenta Baksmali.

Essencialmente, o que muda nesta aplicação modificada é que, em vez de o host principal XMPP, os atacantes colocam o servidor C2 através do método do getknownhosts para conseguirem transmitir informações do dispositivo onde o malware se encontra implantado.

O que este malware faz especificamente?

- Comunicação por HTTP

- Exfiltração de dados

- Injeção de comandos

Adicionalmente, os atacantes modificaram o ícone e o nome do pacote de forma a ficar similar à aplicação do Telegram messenger.

Sabe-se também que o IP principal a partir do qual os atacantes expõem o seu servidor C2 é o 185.51.201[.]133.

Fonte: https://www.thethreatreport.com/viceleaker-an-android-large-scale-espionage-malware/