A empresa Heimdal Security recentemente analisou uma mensagem de texto enviada randomicamente para vários telefones celulares pelo mundo. O SMS/MMS em questão chegava com o seguinte conteúdo (código higienizado pela própria empresa):

Fonte: https://heimdalsecurity.com/blog/security-alert-mazar-bot-active-attacks-android-malware/

Se o APK (que é um arquivo de programa para o Android) é executado em um smartphone com Android, em seguida, o hacker vai ganhar direitos de administrador no dispositivo da vítima. Isso permitirá que os atacantes para:

• SEND_SMS (ENVIAR SMS SEM AUTORIZAÇÃO DA VÍTIMA)
• RECEIVE_BOOT_COMPLETED (O PROGRAMA INICIALIZA COM O CELULAR)
• INTERNET (ACESSA AS CONFIGURAÇÕES DE INTERNET DA VÍTIMA)
• SYSTEM_ALERT_WINDOW (CRIA JANELAS QUE SE SOBREPÕEM AOS APP DO CELULAR)
• WRITE_SMS (ESCREVER SMS SEM AUTORIZAÇÃO DA VÍTIMA)
• ACCESS_NETWORK_STATE (PERMITE ACESSO A INFORMAÇÕES SOBRE REDES SALVAS NO CELULAR)
• WAKE_LOCK (APLICATIVO FUNCIONA ENQUANTO O CELULAR ESTIVER LIGADO)
• GET_TASKS (INDICA QUAIS TAREFAS ESTÃO EM EXECUÇÃO NO MOMENTO)
• CALL_PHONE (PERMITE LIGAR PARA NÚMERO SEM AUTORIZAÇÃO DA VÍTIMA)
• RECEIVE_SMS (RECEBER SMS SEM AUTORIZAÇÃO DA VÍTIMA)
• READ_PHONE_STATE (PERMITE LER O ESTADO DO CELULAR)
• READ_SMS (LER SMS SEM AUTORIZAÇÃO DA VÍTIMA)
• ERASE_PHONE (APAGA TODOS OS DADOS DO TELEFONE, INCLUSIVE O ANDROID!)

Fonte: https://heimdalsecurity.com/blog/security-alert-mazar-bot-active-attacks-android-malware/

O link baixa e instala o navegador TOR automaticamente, porém, ao mesmo tempo, é baixado silenciosamente um APK, que é um vírus “Mazar Android BOT”. O navegador TOR será usado para conectar o celular ao seguinte servidor: http: // pc35hiptpcwqezgs [.] Onion.

Depois disso, um SMS automático será enviada para o número 9876543210 (98 é o código do país Irã) com a mensagem de texto: “Obrigado”. O problema é que esta SMS também inclui dados de localização do dispositivo.

Este malware móvel específico abre as portas para todos os tipos de consequências maliciosos para a vítima. Os atacantes podem:

• Abrir um backdoor nos smartphones Android, para monitorar e controlar o que quiserem;
• Enviar mensagens SMS para vários números aleatório e/ou do telefone da vítima, aumentando seriamente a conta de telefone da vítima e o raio de abrangência do vírus;
• Ler mensagens SMS, o que significa que também pode ler códigos de autenticação, enviadas como parte dos mecanismos de autenticação de dois fatores, usado também pelas aplicações bancárias on-line e sites de comércio eletrônico;
• Ter pleno acesso ao Android dos telefones para manipular basicamente tudo do dispositivo e fazer o que quiserem.

E isso fica ainda pior.

Os atacantes por trás do Mazar BOT também implementaram o “Polipo proxy”, que lhes dá acesso adicional a ainda mais funcionalidades do Android.

Fonte: Github

Através deste proxy, os criminosos podem mudar o tráfego e interpor-se entre o telefone da vítima e um serviço baseado na web. Isso efetivamente torna-se um ataque Man-in-the-middle.

Os dados são copiados para o telefone como arquivos mp3:

122,933 polipo.mp3
1.885.100 tor.mp3

Em seguida, o proxy é configurado como você pode ver abaixo:

174.398 debiancacerts.bks
574 torpolipo.conf
879 torpolipo_old.conf
212 torrc
276 torrc_old

Como se não fosse suficiente ele pode interromper chamadas e lançar outros comandos agressivos no telefone da vítima, Mazar BOT também é capaz de injetar-se em Chrome.

Fonte: https://heimdalsecurity.com/blog/security-alert-mazar-bot-active-attacks-android-malware/

E há várias outras definições e comandos que Mazar BOT pode desencadear, Esses incluem:

• Controlar as teclas do telefone;
• Ativar o modo de suspensão;
• Salvar ações nas configurações do telefone, etc.

Como se proteger do Mazar BOT

Existem alguns procedimentos que você pode fazer para manter seu telefone seguro do vírus Mazar BOT, e recomendamos que você tome um momento agora para verificar e ajustar essas configurações em seus dispositivos.

1. Primeiro de tudo, NUNCA clique em links de mensagens SMS ou MMS no seu telefone. Telefones Android são notoriamente vulneráveis e os produtos (aplicativos) de segurança atuais dedicados a este sistema operacional não são tão eficazes como são em computadores.

2. Vá para Configurações > Segurança e certifique-se esta opção esteja desligada: “Fontes desconhecidas – Permitir a instalação de aplicativos de fontes confiáveis e desconhecidas.”

3. Vá para Mensagem > Configuração > MMS e certifique-se esta opção esteja desligada: “Obtenção automática – Obter mensagens automaticamente.”

4. Instale um bom antivírus para Android. Pode não ser suficiente para proteger o seu telefone, mas é certamente bom ter um. Você pode encontrar opções neste artigo (em inglês): http://www.tomsguide.com/us/best-antivirus,review-2588-7.html.

5. Não conecte a redes WiFi desconhecidas e não garantidas. Há uma abundância de perigos à espreita lá fora, e seguindo alguns passos de senso comum para se manter seguro é a melhor coisa a fazer. Além disso, mantenha o seu Wi-Fi desligado quando você não for usá-lo.

6. Instale uma VPN em seu smartphone e use-a constantemente. É bom tanto para a sua privacidade quanto para sua segurança.

7. Mantenha uma atitude cautelosa em todos os momentos. Apesar da alta taxa de adesão aos smartphones com o Android, a segurança desse sistema operacional não conseguiu se manter no mesmo ritmo, e os usuários podem ter que esperar por um longo tempo até melhores soluções de segurança aparecerem. Logo, uma avaliação cuidadosa do que acontece no seu celular é uma boa prática de segurança.