Por Leandro Rocha

As empresas vpnMentor e ClearSky divulgaram, no último dia 20 de março, detalhes sobre uma campanha de espionagem contra cidadãos do Irã. O malware utilizado nesta campanha infecta usuários da plataforma Android por meio de uma versão falsificada de um aplicativo de VPN chamado Psiphon.

Após protestos contra a instabilidade econômica e a censura do governo iraniano em dezembro de 2017, o governo de Hassan Rouhani, em uma tentativa de impedir que os manifestantes se organizassem e ampliassem os protestos, restringiu o uso da Internet no país, bloqueando sites populares e aplicativos de mídia social como Twitter e o aplicativo de mensagens Telegram.

Em contrapartida, muitos cidadãos buscaram novos meios de acesso com o objetivo de contornar as restrições impostas pelo governo; uma das alternativas encontradas foi o uso do aplicativo Psiphon — software de código aberto que, por meio de VPN (Virtual Private Network), viabiliza o acesso a websites censurados e serviços bloqueados.

Durante os protestos de dezembro, o desenvolvedor do aplicativo Psiphon, Irv Simpson, afirmou à Motherboard: “(…) a Psiphon viu um número de downloads e uso de aplicativos sem precedentes em nossa rede, em todas as plataformas, no Irã”.

Segundo Simpson, a média de downloads em todas as plataformas (Android, Windows e iOS) era de 40 mil downloads diários; durante os protestos no Irã, este número subiu para 70 mil downloads. O desenvolvedor estimou que no mesmo período, o número de usuários do aplicativo no Irã chegou a 10 milhões.

Em janeiro deste ano a ClearSky recebeu reclamações de cidadãos iranianos acusando o recebimento de mensagens de texto suspeitas oferecendo um aplicativo de VPN para desbloquear o acesso ao Telegram. Após investigações, a ClearSky descobriu que o aplicativo era um software malicioso para Android chamado “Ir.ops.breacker”, o qual usava características visuais (nome e logo) semelhantes às do aplicativo de VPN Psiphon para estimular as vítimas a baixarem o malware.

A mensagem recebida pelos iranianos dizia: “Olá — faça o download desta VPN para se conectar facilmente com o Telegram”; a mensagem trazia também um link para o download do falso aplicativo.

Ao ser instalado, o software malicioso solicita permissões de acesso a diversos recursos do celular da vítima, os quais passam a ser usados para espionar as atividades dos usuários, estabelecer a comunicação entre o malware e o servidor de comando e controle (C&C) além de viabilizar a disseminação do aplicativo malicioso.

Para se propagar, o malware utiliza o acesso concedido à lista de contatos do dispositivo e ao envio de SMS para disparar mensagens de texto ocultas com conteúdo malicioso para todos os contatos do usuário.

Quando o usuário abre o aplicativo malicioso pela primeira vez, ele recebe uma mensagem de erro solicitando que o aplicativo seja fechado e aberto novamente; em seguida, ao reabrir o aplicativo, a vítima recebe outra mensagem de erro dizendo que o aplicativo não foi instalado corretamente e que precisa ser reinstalado através da Google Play Store. Uma terceira mensagem aparece informando ao usuário de que o aplicativo foi excluído do dispositivo, no entanto, o aplicativo malicioso permanece em execução em segundo plano.

As empresas envolvidas na investigação não conseguiram determinar o agente malicioso responsável por esta campanha, mas classificaram o malware como muito sofisticado.

Atualmente 23 antivírus detectam o malware; no início da pesquisa, porém, apenas seis eram capazes de identificá-lo, o que reforça o cuidado que todos os usuários devem ter com mensagens recomendando a instalação de aplicativos, mesmo quando o nome do aplicativo é conhecido e a mensagem venha de fonte confiável.

Para empresas, vale a ressaltar a importância do trabalho de conscientização e educação dos usuários contra os mais diversos tipos de mensagens maliciosas, que incluem além dos phishing tradicionais, os smishing (sms phishing), técnica usada nesta campanha de espionagem.