A equipe de pesquisadores da Trend Labs divulgou mais uma técnica praticada pela empresa Hacking Team, fornecedora de ferramentas de espionagem e monitoramento que teve 400GB de seus documentos roubados e publicados na internet. Dessa vez, a manobra descoberta se dava através de um falso aplicativo para Android e disponibilizado na Play Store, que permitia que os clientes da Hacking Team tivessem acesso a informações de usuários.

O app em questão foi instalado apenas 50 vezes na loja da Google, mas essa é uma técnica muito utilizada, logo não seria surpreendente que houvesse outros aplicativos desse gênero desenvolvidos por esta empresa nas lojas. Wish Wu, engenheiro de resposta a ameaças em ambientes de mobilidade, publicou a história no blog da Trend Micro.

O aplicativo demonstrado utiliza o nome de um site de notícias há muito fechado, o BeNews, uma estratégia que garante alguma confiabilidade dos usuários menos atentos. Ele foi projetado como um cavalo de tróia para instalar uma porta de entrada (backdoor), usada para carregar a versão Android do RCS, um malware capaz de recolher dados dos usuários.

Os documentos da Hacking Team contém o código fonte desse aplicativo e ensinam seus clientes a utilizá-lo, segundo Wu, e com base nessas informações acredita-se que a companhia provia este malware para ser utilizado por autoridades e agências de segurança em escala mundial.

O aplicativo malicioso explora uma vulnerabilidade de elevação de privilégios local, e afeta todas as versões do sistema operacional móvel da Google, desde o Android 2.2 ("Froyo") até o 4.4.4 ("KitKat"). Outras versões podem ser vulneráveis também, segundo Wu, já que o malware, que foi documentado no verão passado, também já afetou outros sistemas operacionais Linux.

O BeNews é capaz de passar pelas proteções da Google na Play Store, pois a exploração não aparece inclusa no código inicial do aplicativo. Inicialmente, ele só pede três permissões e pode ser considerado seguro para os padrões de segurança da Google. Mas depois que ele é executado pelo usuário, pode carregar código dinamicamente, incluindo o malware, que é então usado para escalar permissões e instalar o backdoor RCSAndroid.

Ainda não se sabe até onde esse tipo de armadilha desenvolvido pela Hacking Team chegou. É provável que o BeNews seja uma demonstração e que a companhia tenha desenvolvido outros semelhantes para seus clientes. Mas agora o código e a documentação para o app estão abertos e disponíveis tanto para outros hackers quanto aos pesquisadores de segurança, portanto está sendo provavelmente usado para criação de outros aplicativos maliciosos, enquanto os pesquisadores continuam investigando a segurança das lojas de aplicativos. Ao que parece, o vazamento dos documentos iniciou uma nova empreitada para ambos os lados.