O novo malware é dado pelo nome de "ViceLeaker", e é uma nova campanha que foi descoberta com capacidades sofisticadas de backdoor de forma a invadir a câmara do dispositivo, apagar ficheiros, gravar o som, etc.
Do que se observou durante as investigações levadas a cabo pela Kaspersky, as amostras parecem ser levantadas a partir de um software open source, o cliente Jabber/XMPPP "Conversations", que é uma versão legítima da aplicação para Android.
De forma a modificaram a aplicação original e adicionarem estas funcionalidades maliciosas, foi usada a ferramenta Baksmali.
Essencialmente, o que muda nesta aplicação modificada é que, em vez de o host principal XMPP, os atacantes colocam o servidor C2 através do método do getknownhosts para conseguirem transmitir informações do dispositivo onde o malware se encontra implantado.
O que este malware faz especificamente?
- Comunicação por HTTP
- Exfiltração de dados
- Injeção de comandos
Adicionalmente, os atacantes modificaram o ícone e o nome do pacote de forma a ficar similar à aplicação do Telegram messenger.
Sabe-se também que o IP principal a partir do qual os atacantes expõem o seu servidor C2 é o 185.51.201[.]133.
Fonte: https://www.thethreatreport.com/viceleaker-an-android-large-scale-espionage-malware/
