Categoria: spyware

Segurança reforçada: WhatsApp impede uso do spyware da Paragon

A Meta confirmou ter terminado as operações de uma grande campanha de spyware, que estaria a propagar-se usando o WhatsApp. Esta campanha terá afetado cerca de 90 pessoas, a maioria jornalistas e ativistas.

A campanha estaria ligada com o grupo Paragon, sediado em Israel e conhecido por produzir spyware. Esta entidade foi adquirida em Dezembro do ano passado pelo grupo AE Industrial. De acordo com o WhatsApp, a campanha usava a plataforma para tentar infetar os dispositivos das vítimas, e desta forma, realizar a recolha massiva de dados e de informações potencialmente sensíveis.

O WhatsApp afirma ter entrado em contacto direto com todas as pessoas afetadas pela campanha. Ao mesmo tempo, a plataforma deixou ainda a nota de que as empresas criadoras deste formato de spyware devem ser responsabilizadas pelos serviços que fornecem.

A plataforma da Meta afirma que a campanha usou ficheiros PDF maliciosamente modificados para comprometer os dispositivos das vítimas. Ao mesmo tempo, a Meta afirma ter lançado correções para a sua plataforma para prevenir que esta campanha tenha sucesso no futuro.

A empresa acredita que a campanha maliciosa terá começado em Dezembro, e na altura, a empresa enviou mesmo uma carta direta para a Paragon, alertando da situação e sobre os possíveis efeitos legais. Esta é a primeira vez que as atividades da Paragon são diretamente associadas com campanhas tendo como alvo jornalistas e ativistas, usando o spyware criado pela entidade.

Embora a entidade tenha sido fundada em 2019, tem conseguido manter as suas atividades maliciosas de baixo perfil, e sem ligação direta ao seu nome. A campanha do WhatsApp agora descoberta será a primeira a surgir com uma relação direta e confirmada.

De momento ainda se desconhece quais seriam os objetivos desta campanha de espionagem, bem como os potenciais alvos da mesma.

31/01/2025
Spyware descoberto dentro da loja de aplicações da Amazon

Tendo em conta que o Android é um sistema consideravelmente aberto, este permite que as aplicações possam ser instaladas de várias fontes, seja pela Google Play Store ou por outras lojas. Uma das existentes é a Amazon App Store, que embora seja menos conhecida, ainda conta com um vasto conjunto de apps e utilizadores ativos.

Recentemente foi descoberto que, durante anos, uma falsa aplicação de saúde esteve disponível na Amazon App Store contendo malware na mesma. Segundo os investigadores da McAfee Labs, a aplicação BMI CalculationVsn esteve durante várias semanas mascarada como uma app de saúde relativamente simples na Amazon App Store. No entanto, em segundo plano a mesma instalava também malware nos sistemas, levando a possíveis dados comprometidos.

A aplicação afirma ser uma simples calculadora do Índice de Massa Corporal, e realmente realiza essa tarefa quando se abre a mesma. Porém, além disso, esta também começa por requerer permissões para gravar conteúdos do ecrã, que usa para recolher dados sensíveis dos utilizadores usados dentro do sistema.

Os ficheiros MP4 gravados do ecrã eram guardados apenas de forma local, provavelmente porque a aplicação ainda estaria em desenvolvimento. Mas em futuras atualizações esta poderia proceder com o envio das gravações para um sistema remoto.

Os primeiros indícios da app na Amazon App Store começaram a surgir em 8 de Outubro de 2024, mas inicialmente esta não aparentava conter intenções maliciosas. Apenas em futuras atualizações foram integradas variantes de malware na mesma, com o objetivo de recolher dados dos sistemas.

Ao contrário da Google Play Store, a Amazon App Store conta com padrões de segurança mais reduzidos, o que pode permitir que este formato de apps possam ser mais facilmente distribuídas. Depois de identificada, a Amazon terá sido notificada e a aplicação foi removida.

19/12/2024
Hackers exploram falha zero-day no Chrome em jogo da blockchain

O grupo de hackers “Lazarus”, conhecido pelas suas atividades relacionadas com o governo da Coreia do Norte, encontra-se a usar uma falha associada ao navegador Google Chrome, com o objetivo de levar à instalação de spyware no sistema das vítimas através de jogos baseados na blockchain.

O grupo encontra-se a explorar uma falha zero-day, onde as vítimas são aliciadas diretamente para uma falsa plataforma, que promete ganhos via NFT na blockchain. No entanto, o objetivo será explorar esta falha para levar à instalação de spyware nos sistemas, além de roubar carteiras de criptomoedas e outros dados potencialmente sensíveis.

De acordo com os investigadores da empresa Kaspersky Labs, o jogo encontra-se a ser fortemente promovido em plataformas sociais como o LinkedIn e X, e funciona como seria de esperar. Quem acede ao mesmo, em primeira instância, não deverá notar qualquer problema diretamente associado a este.

Apelidado de DeTankZone ou DeTankWar, o jogo usa NFTs como “tanques virtuais”, onde os jogadores devem combater entre si. O simples fato dos jogadores estarem no jogo seria suficiente para permitir que o ataque fosse realizado com sucesso – mesmo sem descarregar qualquer conteúdo diretamente para o sistema.

A falha explorava o motor de javascript V8 do Chrome, e permitia que comandos remotos fossem enviados diretamente para o sistema, o que poderia levar a potenciais casos de instalação de malware e roubo de dados sensíveis.

Segundo os investigadores, o jogo e as suas intenções tinham sido originalmente descobertas em Fevereiro, por um especialista em segurança da Microsoft. No entanto, nessa altura, desconhecia-se exatamente o formato e vetor de ataque.

Depois da exploração ter sido publicamente conhecida, o site associado ao jogo removeu o código que explorava a falha, ainda antes da Kaspersky Labs ter possibilidade de o verificar. Porém, foram descobertos indícios que ajudaram a identificar a falha, que foi prontamente notificada para a Google.

A correção da mesma foi entretanto lançada para o Chrome, e deverá já encontrar-se na grande maioria dos sistemas – portanto não pode ser ativamente explorada. A mesma foi agora publicamente revelada tendo em conta que a grande maioria dos sistemas já se encontram atualizados, o que impede que a falha possa ser explorada.

23/10/2024
Apple lança alerta para novo spyware mercenário

A Apple encontra-se a notificar utilizadores de dispositivos da empresa para um novo spyware, que terá afetado algumas pessoas de interesse em mais de 98 países.

De acordo com a Apple, o ataque possui origem num “spyware mercenário”, que se foca em recolher dados dos dispositivos infetados, com o objetivo de espiar as atividades dos mesmos. Este ataque encontra-se direcionado para personalidades de interesse, como é o caos de jornalistas, ativistas e políticos, embora as razões e motivações do mesmo ainda sejam desconhecidos.

Esta é a segunda vez que a Apple emite um alerta para este género de spyware, sendo que o primeiro aconteceu em Abril, com utilizadores de 92 países afetados.

Os clientes afetados devem receber uma notificação direta da empresa, a informar que podem estar a ser alvo deste spyware mercenário, e que o mesmo pode ter sido direcionado para o roubo de dados.

Existem registos atualmente das notificações da Apple terem sido enviadas para utilizadores na Índia, mas poderão certamente existir casos em outros locais.

Este alerta é diferente dos que a empresa anteriormente enviou, sendo que a mesma optou por alterar o termo do ataque para tendo origem de um “spyware mercenário”, invés de classificar o mesmo como um ataque patrocinado diretamente pelo governo.

11/07/2024
Ciber ameaças aumentam em Portugal: conteúdo para adultos, streaming e ligações falsas são as principais
De acordo com um novo estudo da NordVPN, uma das maiores empresas de cibersegurança, o conteúdo para adultos, os sites de alojamento gratuito de vídeos e os sites que se fazem passar por marcas conhecidas e conceituadas são os que apresentam o maior número de ameaças à segurança e à privacidade, sob a forma de malware, anúncios intrusivos e rastreadores.

Apenas no mês de maio, a funcionalidade de Proteção contra Ameaças Pro da NordVPN bloqueou mais de 5 mil milhões de anúncios intrusivos, quase 40 mil milhões de rastreadores e 60 milhões de tentativas de infeção por malware. Com quase 1 milhão de incidentes relacionados com o malware, os Portugueses estão entre os menos afetados de todos os utilizadores europeus da Proteção contra Ameaças Pro. Os três países mais afetados são a Alemanha, com quase 30 milhões, seguida do Reino Unido e da França. No entanto, quase 1 milhão de casos não é um número que se possa desprezar. Uma análise exaustiva destes incidentes suspensos revelou ameaças vitais à cibersegurança e à privacidade, de que os utilizadores devem estar cientes e de que deverão proteger-se.

“Enfrentamos ciberameaças todos os dias, sem dar por isso. Mesmo que não vejamos malware ou rastreadores a olho nu, ou mesmo que consigamos lidar com a irritação provocada pelos anúncios, isso não nos poupa aos graves problemas de privacidade e cibersegurança que eles provocam. Devemos melhorar os nossos conhecimentos e utilizar ferramentas tecnológicas de confiança para evitar estas ameaças. A maior parte das funcionalidades antimalware integradas nas VPN mais conhecidas costuma limitar-se à simples filtragem de DNS. Já a ferramenta de proteção digital da NordVPN foi agora atualizada para a Proteção contra Ameaças Pro, ajudando os utilizadores a evitar a pirataria informática, o rastreamento, o phishing, fraudes, malware, além de anúncios e cookies irritantes”, diz Adrianus Warmenhoven, consultor de cibersegurança da NordVPN.

O malware está à espreita nos sites para adultos e em ligações para o Office365 com erros tipográficos

O malware consiste em software malicioso: vírus, cavalos de Troia, ransomware e spyware desenvolvidos para danificar os dispositivos dos utilizadores. Podem roubar dados confidenciais, encriptar ficheiros importantes ou até assumir o controlo dos dispositivos, dando ao criminoso total domínio. A forma mais habitual de os utilizadores infetarem os seus dispositivos com malware é visitando sites maliciosos.

O estudo da NordVPN mostra que, de 1 de janeiro a 31 de maio, a Proteção contra Ameaças Pro bloqueou mais de 24 milhões de ligações maliciosas em sites de conteúdo para adultos (8% de todos os sites bloqueados), bem como 16 milhões de ligações e sites não categorizados (5%) e 13 milhões em sites de serviços web (4%).

Além disso, os criminosos utilizam com frequência nomes de marcas conhecidas com erros tipográficos, para levar as vítimas a clicar nas ligações de phishing e a descarregar ficheiros infetados. Cerca de 99% de todos os ataques de phishing usa apenas 300 marcas para fins de burla. As marcas mais conhecidas falsificadas para espalhar malware são o Office365 (86 K de URL falsos descobertos), a Gazprom (60 K), a AT&T (28 K), o Facebook (19 K) e a Bet365 (15 K)*.

“A culpa não é das marcas — estas falsificações também prejudicam a sua reputação, obrigando as empresas a andar sempre no seu encalço. Mas a elevada notoriedade da marca pode criar nas vítimas uma falsa sensação de segurança e fazê-las baixar a guarda”, diz Warmenhoven.

Um dispositivo em Portugal sofre 82 ataques de malware por mês

O risco de se ser infetado por malware também varia consoante a localização geográfica, o que pode dever-se aos vários níveis de acesso à internet, ao desenvolvimento económico e à própria sensibilização para as questões de cibersegurança nos diferentes países.

O estudo da NordVPN mostrou que a Proteção contra Ameaças Pro bloqueou perto de 1 milhão de tentativas de infetar os dispositivos de utilizadores portugueses durante o período abrangido pelo estudo. Em média, um dispositivo de um utilizador português está sujeito a 82 incidentes relacionados com malware todos os meses. Já a Ucrânia é o país mais afetado, com 786 tentativas de infetar um dispositivo com malware por mês.

Os rastreadores invasivos têm rédea solta nos sites de hospedagem de vídeos gratuitos

Os rastreadores web são uma vasta categoria de ferramentas criadas para invadir a privacidade e recolher informações sobre a atividade dos utilizadores. Normalmente, os rastreadores assumem a forma de scripts especiais, cookies no navegador ou pixéis de rastreamento. Infelizmente, quando ocorre uma violação de dados, os dados armazenados pelos rastreadores podem ir parar às mãos de cibercriminosos.

Tendo isto presente, os utilizadores devem prestar a máxima atenção quando recorrem ao alojamento gratuito de vídeos (28% de todos os rastreadores bloqueados), serviços de armazenamento online (13%) e motores de busca (13%), que, segundo o estudo, são os principais responsáveis por monitorizar as atividades dos utilizadores. Desde o dia 1 de janeiro, a Proteção contra Ameaças Pro bloqueou 39 mil milhões de rastreadores apenas nos sites de alojamento gratuito de vídeos, ao passo que a categoria de armazenamento online é responsável por 18 mil milhões de rastreadores.

“Os sites muitas vezes partilham ou vendem os dados recolhidos pelos rastreadores a terceiros. Mas quem quiser proteger a sua privacidade tem à sua disposição diversas ferramentas para se tornar menos rastreável. É o caso das VPN, que alteram o verdadeiro endereço IP e a localização virtual da pessoa, dos bloqueios de rastreadores ou dos navegadores anónimos”, diz Warmenhoven.

Os anúncios invasivos fazem mais do que apenas irritar

Os anúncios invasivos e irrelevantes que aparecem inesperadamente, bloqueando a página do anfitrião e abrindo novas páginas e janelas, também são dos mais comuns nos sites de alojamento gratuito de vídeos, conteúdo para adultos e publicidade. Desde o início do ano, a Proteção contra Ameaças Pro detetou e bloqueou milhares de milhões deles: mais de 2 mil milhões, mil milhões e 807 milhões, respetivamente.

Além disso, os anúncios intrusivos são muito mais do que uma componente irritante da navegação online: são uma questão de privacidade e segurança. Também podem infetar os dispositivos dos utilizadores ao estabelecer ligação a sites maliciosos, violar a sua privacidade ao recolher dados da atividade na web e afetar a velocidade de carregamento dos sites.

Como se proteger das ciberameaças mais comuns

Para se proteger das ameaças de cibersegurança mais comuns, como malware, rastreadores e anúncios, Adrianus Warmenhoven aconselha-o a tomar as seguintes precauções:
- Desenvolva bons hábitos de cibersegurança. Os cibercriminosos aproveitam-se da apatia, da confusão e da ignorância, contando que as vítimas não cumpram as devidas diligências. A maioria das tentativas de phishing, por exemplo, envolve a distorção de nomes de marcas conhecidas.
- Verifique, descarregue, analise, instale. Os executáveis de malware podem estar disfarçados ou até ocultos em ficheiros legítimos. Verifique sempre o site de onde pretende fazer transferências e use ferramentas antimalware como a Proteção contra Ameaças Pro para inspecionar os ficheiros que descarrega, incluindo anexos suspeitos de e-mail.
- Tenha cuidado com os sítios que visita online. Há determinadas categorias de domínios web que têm muito maior probabilidade de hospedar malware que comprometa o seu dispositivo do que outras. Se visitar sites suscetíveis de conterem malware, presta atenção ao que escreve, àquilo em que clica e que descarrega.
- Deixe que a Proteção contra Ameaças Pro o proteja. A Proteção contra Ameaças Pro reúne o melhor das ferramentas essenciais de cibersegurança num pacote completo. Analisa cada ficheiro que descarrega quanto à presença de malware, impede-o de visitar páginas maliciosas utilizadas para phishing, fraudes e para o alojamento de malware, além de bloquear os anúncios irritantes.
18/06/2024
Adobe a espiar conteúdos dos utilizadores? Não é inteiramente verdade…

A Adobe é uma das empresas que tem vindo a apostar em usar tecnologias de IA nos seus produtos. No entanto, para melhorar estas tecnologias, as mesmas precisam de conteúdos para serem treinadas.

Os modelos de IA apenas podem fazer o seu trabalho caso tenham conteúdos igualmente bons a serem usados para treino. Mas recentemente, a empresa voltou a ficar na ribalta, depois de uma suposta alteração dos seus termos de serviço.

Vários utilizadores começaram a confirmar uma mudança realizada nos Termos de Serviço da plataforma da Adobe, que alegadamente permitiria à empresa rever e aceder aos dados e conteúdos dos utilizadores, usando métodos tanto automáticos como manuais. Mas estarão estas acusações corretas?

Os Termos de Serviço da Adobe foram atualizados pela última vez em Fevereiro de 2024, sendo que na altura, a empresa já indicava que poderia aceder, ver ou ouvir conteúdos, de forma limitada, pertencentes aos seus clientes e apenas quando permitido pela lei. Isto inclui formas de fornecer suporte, corrigir falhas ou evitar fraudes, bem como para garantir que os termos de serviço são aplicados.

A publicação The Stack veio recentemente confirmar estas mudanças, indicando que o software da Adobe poderia agora ser considerado Spyware, devido à recolha e acesso dos dados dos clientes. No entanto, a realidade é que os termos de serviço que permitiam esse acesso não são inteiramente recentes.

Numa página de FAQ, respeitante à atualização dos termos de serviço de Fevereiro de 2024, a Adobe indica que apenas realiza a monitorização e processamento de conteúdos que se encontrem nos próprios servidores da Adobe, e não de forma local nos dispositivos dos clientes. Ou seja, a empresa sublinha que os dados que os utilizadores tenham nos seus dispositivos não são analisados, nem usados para tarefas de IA generativa.

A empresa veio ainda sublinhar posteriormente que, para realizar algumas das suas atividades, é necessário algum acesso aos dados dos clientes que estejam nos servidores da Adobe. Por exemplo, para ajudar nas funcionalidades de pesquisa, é necessário que se tenha acesso aos dados dos ficheiros.

Apesar destas clarificações, vários utilizadores consideram que as mudanças dos termos de serviço da Adobe são vistas como spyware, e a empresa encontra-se a usar os dados para os mais variados fins. Tendo em conta o uso de IA generativa na atualidade, muitos consideram que esta informação pode também ser usada para treino dos modelos de IA da empresa.

06/06/2024
Versões piratas do Microsoft Office instalam mistura de malware nos sistemas

Por quem navega em conteúdos piratas, certamente que descobrir um ou outro com malware não é propriamente uma novidade. Mas recentemente, uma nova campanha de malware encontra-se focada para quem procura soluções “alternativas” para instalar o Microsoft Office.

Segundo os investigadores da empresa de segurança AhnLab Security Intelligence Center, foi descoberto em vários sites de partilha de programas ilegalmente, uma versão pirateada do Microsoft Office, que embora tenha um aspeto “profissional”, encontra-se longe de ser segura para os sistemas.

O software propaga-se como sendo um instalador e ativador para diferentes versões do Microsoft Office. Os utilizadores, ao abrirem o mesmo, possuem acesso a uma interface aparentemente legítima e bem trabalhada, de onde se pode escolher qual a versão do Office a instalar, idioma e outras configurações.

No entanto, em segundo plano, esta aplicação também instala um verdadeiro cocktail de malware no sistema. Usando código encriptado na sua fonte, a aplicação procede com a instalação de diferentes formatos de malware no sistema, desde ransomware, spyware e outro malware em geral, que pode levar a roubo de dados.

De acordo com os investigadores, o programa começa por contactar os servidores do Telegram ou Mastodon, de onde procede para receber os links onde se encontra o malware – um script que, para evitar a deteção, encontra-se armazenado no Google Drive ou GitHub.

Depois de descarregado, o script é executado no PowerShell, procedendo com a instalação tanto do Microsoft Office pedido pelo utilizador, como também de diferentes variantes de malware. Não se contentando apenas com um, o programa instala mesmo vários malwares no sistema.

Entre estes encontra-se o Orcus RAT, que permite acesso remoto ao sistema, o XMRig, que usa os recursos do sistema para minerar criptomoedas, o 3Proxy, que abre um proxy para ligações remotas a partir do sistema, PureCrypter, que mantém o malware instalado e atualizado, e ainda o AntiAV, que desativa uma vasta lista de programas de segurança, impedindo a deteção dos mesmos.

Mesmo que o malware seja removido do sistema, existem ainda módulos adicionais que são executados cada vez que o mesmo arranca, e que procedem com a instalação novamente de malware nas máquinas.

Este género de campanhas podem ainda levar a que ransomware também seja descarregado e instalado nas máquinas. Por agora, parece que o foco parece ser malware que pode permitir o roubo de dados e o controlo remoto dos sistemas, mas eventualmente pode transitar para ransomware.

30/05/2024
Recall do Windows 11 vai ser uma dor de cabeça para a privacidade

Recentemente a Microsoft revelou várias funcionalidades, focadas para uso da IA no Windows. Entre estas encontra-se a nova funcionalidade “Recall”.

De acordo com a empresa, esta função vai criar uma “imagem” de tudo o que o utilizador realize no sistema operativo. Qualquer tarefa que o mesmo realiza, será guardada numa linha de tempo, que pode depois ser rapidamente acedida para recordar as tarefas.

A ideia não é totalmente nova, sendo que o Windows 10 contava com a função “timeline”, mas agora vai ganhar novas funções. Invés de apenas registar as aplicações usadas, o Recall vai anotar também todas as interações feitas dentro das mesmas, o que inclui dados escritos e outras informações presentes no mesmo – por exemplo, no caso de navegadores, será possível analisar os sites visitados com uma identificação visual dos mesmos.

No entanto, se esta função pode ser útil para relembrar algumas atividades do passado, também pode vir a causar algumas dores de cabeça a nível da privacidade. Isto porque, quando se refere que o Recall regista tudo o que o utilizador realiza, é mesmo “tudo”.

A funcionalidade foi classificada pelo CEO da Microsoft como sendo uma “memória fotográfica” do que foi feito no Windows 11 e das suas atividades. Isto inclui possíveis dados sensíveis que os utilizadores introduzam em diferentes sites e plataformas.

Deverão ser aplicadas funções que podem permitir aos utilizadores suspender a recolha de dados, ou colocar a captura de imagens em “pausa”, mas ao mesmo tempo, nem todos podem sempre realizar esta tarefa quando se pretenda.

O Recall pode capturar conteúdos como senhas, dados bancários e outras informações sensíveis do sistema, que podem ser bastante prejudiciais se caírem nas mãos erradas.

Embora os dados do Recall fiquem, segundo a Microsoft, armazenados apenas de forma local – nos dispositivos dos utilizadores – isso não impede que os mesmos possam ser inteiramente acedidos. Por exemplo, podem ser criados malwares que recolhem exatamente essa informação, ou spyware focado nesta atividade.

Além disso, nem todos os utilizadores podem colocar a funcionalidade em pausa sempre que se introduza dados potencialmente sensíveis em sites ou apps. Embora seja possível excluir certos sites de serem registados, a lista é criada pelos próprios utilizadores – e novamente, não é algo que todos façam, sobretudo utilizadores com menos conhecimentos técnicos.

Além disso, pode também ser uma função usada para recolher dados dos utilizadores por outros meios. Basta olhar para os vários esquemas onde é requerido o acesso remoto ao sistema, e onde a informação sensível pode ser recolhida pelos atacantes via esta funcionalidade.

Mesmo que os dados não saiam dos dispositivos dos utilizadores, isso não impede inteiramente que a função seja usada para fins maliciosos, colocando em risco dados potencialmente sensíveis.

Para a maioria dos utilizadores, as novas funcionalidades de IA da Microsoft para o Windows 11 possivelmente não compensam a possível recolha de dados e danos na privacidade que podem estar envolvidos.

21/05/2024
Apple lança alerta sobre campanhas de spyware em 92 países

A Apple terá enviado, durante esta semana, uma notificação para utilizadores em 92 países diferentes, alertando para um novo esquema de spyware que pode ter como alvo algumas pessoas de interesse.

De acordo com o portal TechCrunch, a Apple enviou a notificação para vários utilizadores, distribuídos por 92 países diferentes, de forma a ficarem atentos a possíveis esquemas de campanhas de spyware, onde estes podem ser os alvos. Esta campanha pode distribuir-se via iMessage ou email, e teria como alvo pessoas de interesse para diferentes setores.

A ideia seria levar as possíveis vítimas a acederem a falsos sites de login da Apple, onde as suas contas poderiam ser comprometidas. Acredita-se que este ataque faz parte de uma campanha de spyware que possui alvos específicos.

Estas notificações fazem parte de um sistema de alerta da Apple, que possui como alvo personalidades de interesse que estejam a usar os dispositivos da empresa, e que podem ser alvo de esquemas nas suas contas. Desde 2021, altura em que o sistema foi lançado, já foram enviadas notificações em mais de 150 países.

A ideia das notificações será para manter os utilizadores atentos a possíveis esquemas, sendo que a empresa não revela detalhes sobre a origem dos ataques nem os grupos que se encontram por detrás dos mesmos.

Durante o ano passado, a Apple enviou notificações similares para utilizadores e jornalistas na Índia, que estariam a ser alvo de uma campanha direcionada de spyware. Estas notificações estão a ser enviadas numa altura em que vários países se preparam para campanhas eleitorais e votações, que se acredita estar relacionado com o aumento de campanhas de spyware.

Para os utilizadores que recebam a notificação, a Apple recomenda que se mantenham atentos a possíveis esquemas e mensagens maliciosas que sejam enviadas por diferentes meios.

11/04/2024
Falhas zero-day foram das mais exploradas em 2023

De acordo com a equipa de segurança da Google, a Threat Analysis Group (TAG), e a Mandiant, durante todo o ano de 2023 registou-se um aumento do número de ataques a explorarem falhas zero-day, a maioria associado com campanhas de spyware.

Os investigadores indicam que, durante o ano passado, foram exploradas 97 falhas zero-day em ataques, o que representa um aumento de 50% comparativamente ao ano anterior.

Apesar do aumento, este ainda se encontra abaixo do pico de 106 falhas zero-day que foram exploradas em 2021.

As duas empresas afirmam ter descoberto 29 das 97 falhas ativamente exploradas durante o ano passado. De todas as falhas, 61 exploravam ativamente plataformas usadas pelos utilizadores e produtos associados aos mesmos, como sistemas operativos, navegadores e outros.

As restantes 36 falhas exploradas teriam sido focadas para empresas, e tecnologias usadas nas mesmas para as suas atividades, e teriam como objetivo técnicas para espionagem.

Quase 50% das falhas zero-day ativamente exploradas em 2023 foram para campanhas de spyware, onde a ideia seria recolher dados sensíveis das vítimas.

Falhas zero-day são vulnerabilidades de segurança em software que são desconhecidas para o fabricante do software. As falhas zero-day são das mais procuradas pelos atacantes, visto que se tratam de falhas não reconhecidas, e que podem ser ativamente usadas para ataques durante, por vezes, longos períodos de tempo.

27/03/2024
Malware GTPDOOR pode infetar redes de operadoras de telecomunicações

Um investigador de segurança revelou ter descoberto uma variante de malware para Linux, conhecida como GTPDOOR, que pode abrir portas para ataques contra operadoras móveis.

Este malware foca-se em atacar os sistemas adjacentes ao GRX nas operadoras, e pode permitir o acesso direto aos sistemas internos das mesmas caso o ataque seja realizado com sucesso.

O GRX é um sistema usado pelas operadoras de telecomunicação para facilitar o roaming de serviços entre diferentes áreas e redes. Este malware foca-se nos sistemas adjacentes ao GRX, nomeadamente o GPRS Support Node (SGSN), Gateway GPRS Support Node (GGSN), e P-GW (Packet Data Network Gateway (4G LTE).

O investigador HaxRob afirma que o malware encontra-se possivelmente associado com campanhas de spyware, pertencentes ao grupo “LightBasin”, com o objetivo de recolher dados em ataques diretos para as operadoras a nível global.

O investigador afirma que alguns samples do malware foram enviados para o VirusTotal em 2023, mas estariam a passar como indetetáveis na maioria dos softwares de segurança.

Caso o malware tenha sucesso nas suas atividades, pode permitir criar um backdoor na rede interna das operadoras, o que permitiria o acesso de terceiros à infraestrutura base das mesmas.

Os detalhes do malware podem ser verificados no artigo escrito pelo investigador sobre o malware, bem como medidas de prevenção que podem ser implementadas na firewall e outros sistemas de segurança.

04/03/2024
Investigadores descobrem nova infraestrutura de spyware Predator

Um grupo de investigadores revelou ter descoberto uma nova infraestrutura, potencialmente usada por um novo spyware no mercado, e que pode afetar utilizadores em mais de 11 países diferentes.

Apelidado de “Predator “, este novo spyware pode ter uma variante comercial, e acredita-se que tenha como alvo utilizadores em vários países. Tratando-se de um spyware comercial, terá sobretudo como alvo personalidades de relevo, como jornalistas e políticos, de onde se pretenda obter informação dos mesmos.

Este spyware é conhecido como tendo sido desenvolvido pelo grupo Intellexa, e estará a ser distribuído desde 2019, tanto para Android como iPhone. O mesmo pode obter acesso ao microfone, câmara, contactos, mensagens, fotos e vídeos, entre outros conteúdos que possam encontrar-se nos dispositivos dos utilizadores.

Este é considerado como bastante invasivo, e deixa poucos traços das suas atividades nos dispositivos, o que o torna complicado de analisar completamente. O Predator é distribuído sobretudo através da exploração de falhas e vulnerabilidades em outras aplicações, tendo como objetivo alvos diretos.

Os investigadores afirmam agora ter descoberto uma nova infraestrutura, que estará a ser ativamente usada para campanhas de espionagem em alvos de países como Angola, Indonésia, Mongólia, Filipinas, Egipto e outros.

Acredita-se que as vítimas são levadas a descarregar o conteúdo malicioso para os seus dispositivos em campanhas de phishing ou spam, ou direcionados diretamente para conteúdos que podem ser do seu interesse, mas onde o objetivo seja levar à instalação do malware.

04/03/2024
Google afirma que maioria das falhas zero-day são exploradas por spyware

De tempos a tempos são descobertas graves falhas zero-day em software bastante popular no mercado, e uma grande parte das falhas são descobertas por uma equipa dedicada da Google para tal, conhecida como Threat Analysis Group (TAG).

Esta equipa veio agora revelar mais detalhes sobre as descobertas de falhas zero-day ao longo de 2023, deixando dados importantes de ter em conta. Segundo a mesma, quase 80% das falhas zero-day descobertas em 2023 estariam a ser exploradas por grupos comerciais de spyware, com o objetivo de espiar os utilizadores e as suas atividades nos sistemas afetados pelas falhas.

As falhas são consideradas zero-day quando os responsáveis pelo sistema em causa não possuem conhecimento das mesmas e/ou não existem correções disponíveis, bem como quando as falhas estão a ser ativamente exploradas para ataques.

De acordo com os investigadores da TAG, uma grande parte das falhas zero-day estão a ser ativamente exploradas por grupos comerciais, que possuem interesses económicos para explorar as mesmas e permitir espionagem dos dispositivos afetados.

A ter em conta que os dados dizem respeito apenas a falhas que foram conhecidas, e não incluem as que podem estar ativamente a ser exploradas de momento, mas ainda não tenham sido oficialmente descobertas.

Normalmente, estes grupos comerciais de spyware focam-se em personalidades especificas, como jornalistas, ativistas e políticos. Por vezes as suas atividades são adquiridas por grupos associados com governos e organizações privadas.

Estas entidades vendem meios de se espiar dispositivos iOS, Android ou outros sistemas, através de falhas que não foram oficialmente documentadas ou descobertas, mas podem ser exploradas para ataques – e podem permanecer ocultas durante meses, ou em alguns casos, anos.

De acordo com a Google, cada vez que uma falha zero-day é descoberta, estas entidades perdem valiosas quantidades de dinheiro, tendo em conta que a falha é rapidamente corrigida e eventualmente deixa de poder ser usada para os ataques.

06/02/2024
iShutdown ajuda a identificar spyware em dispositivos da Apple

Um grupo de investigadores revelou ter descoberto que algum spyware para dispositivos da Apple pode ser identificado analisando os registos do Shutdown.log, um log do sistema que é usado pela Apple para registar eventos de boot no sistema.

A empresa de segurança Kaspersky desenvolveu um script em Python, que é capaz de automatizar este processo, analisando o registo do sistema para identificar dispositivos que tenham sido potencialmente comprometidos. Este método é consideravelmente mais simples de usar do que as alternativas até agora existentes no mercado.

O Shutdown.log é um registo do sistema da Apple, que indica todos os eventos que ocorreram durante o processo de arranque do mesmo. Este inclui detalhes como os serviços que foram iniciados no sistema e os seus identificadores.

O script, apelidado de “iShutdown”, permite realizar a tarefa de análise da informação num formato consideravelmente mais rápido. Até agora, a única forma de se verificar possíveis indícios de uma infeção no sistema passavam por examinar os backups do sistema, que se encontram encriptados, ou analisar os registos de tráfego de dados.

Este script torna o processo consideravelmente mais simples e prático, além de que conta com um elevado grau de confiança para identificar processos maliciosos. No entanto, o script ainda exige que os utilizadores tenham alguns conhecimentos técnicos para analisar os resultados, portanto não será algo certamente ao alcance de todos.

Ainda assim, o processo é consideravelmente mais simples do que as alternativas. E será certamente importante para analisar dispositivos que se tenham suspeitas de terem sido infetados com malware como o Pegasus.

Para uma análise eficaz, os investigadores recomendam que os utilizadores reiniciem os seus dispositivos de forma regular, o que pode ajudar a identificar os processos maliciosos – uma vez que estes apenas são registados no log durante o arranque.

18/01/2024
Apple garante que não existem dispositivos comprometidos com o Lockdown Mode

Durante o ano passado, a Apple lançou um novo modo de proteção, focado para utilizadores que suspeitem que os seus dispositivos tenham sido infetados com spyware ou que sejam alvo de espionagem.

O Lockdown Mode é um modo especial do sistema da Apple, que bloqueia ao máximo todos os possíveis pontos de ataque aos dispositivos. O sistema é completamente bloqueado para um estado “seguro”, de forma a que os utilizadores possam manter-se contactáveis mas sem a recolha de possíveis dados sensíveis.

Um ano depois da funcionalidade ter sido disponibilizada, a Apple agora afirma que não ocorreu nenhum ataque em dispositivos que tenham sido colocados neste modo.

De acordo com o portal TechCrunch, um engenheiro da empresa terá referido que a Apple desconhece qualquer incidente onde um dispositivo em Lockdown mode tenha sido atacado.

Isto serão certamente boas noticias para quem tenha este modo ativo. De notar que a Apple apenas recomenda que os utilizadores ativem este modo caso considerem que podem estar em risco de espionagem por terceiros, ou em situações onde a privacidade e segurança serão dos pontos mais importantes.

O modo limita algumas das funcionalidades do sistema, para garantir mais proteção para os utilizadores e para os seus dados.

Em Abril deste ano, um grupo de investigadores revelou ter descoberto que pelo menos um ativista de defesa dos direitos humanos terá impedido com sucesso um ataque ao ativar este modo no seu dispositivo. O mesmo teria o dispositivo infetado com o spyware Pegasus.

Os investigadores identificaram que o spyware terá tentado explorar uma falha zero-day – que na altura ainda era desconhecida da Apple – mas o Lockdown mode bloqueou esse ataque com sucesso.

07/12/2023
Apple lança correção de emergência para duas falhas zero-day

A Apple lançou hoje uma atualização de emergência para os seus sistemas, com vista a corrigir duas falhas zero-day descobertas recentemente, e que afetam vários dispositivos da empresa.

De acordo com o comunicado da Apple, a empresa confirma estar ciente da existência de duas falhas zero-day, que afetam todas as versões do iOS anteriores à 16.7.1. As duas falhas encontram-se associadas com o motor WebKit, e podem permitir aos atacantes obterem informações sensíveis dos sistemas das vitimas, ou executarem código remoto que pode levar a roubos de conteúdos.

A Apple lançou a correção para todos os dispositivos com o iOS 17.1.2, iPadOS 17.1.2, macOS Sonoma 14.1.2, e Safari 17.1.2, que contam com medidas adicionais de segurança para prevenir que as mesmas sejam exploradas.

Tendo em conta que se tratam de falhas zero-day, a Apple acredita que estas encontram-se a ser ativamente exploradas para ataques, portanto a atualização dos sistemas e dispositivos afetados é extremamente recomendada.

As duas falhas foram descobertas por investigadores da Threat Analysis Group (TAG) da Google. Apesar de a Apple não deixar detalhes sobre as falhas, normalmente esta divisão da Google tende a revelar falhas associadas com campanhas de espionagem e spyware.

Com estas duas falhas, a Apple já corrigiu 20 falhas zero-day nos seus sistemas durante todo o ano de 2023. Os utilizadores que tenham dispositivos afetados são aconselhados a atualizar o mais rapidamente possível para as versões mais recentes.

30/11/2023
Google alerta para nova vulnerabilidade zero-day no Chrome

A Google encontra-se a disponibilizar uma nova atualização de emergência para o Chrome, focada em corrigir uma nova vulnerabilidade zero-day no navegador. Esta é a quinta correção de vulnerabilidades do género que a empresa fornece para o navegador este ano.

De acordo com a empresa, a falha encontra-se registada como CVE-2023-6345, sendo que a Google acredita que a falha encontra-se a ser ativamente explorada para ataques. A atualização encontra-se agora a ser disponibilizada para os utilizadores no canal Estável do Chrome para o Windows (119.0.6045.199/.200), macOS e Linux (119.0.6045.199).

A atualização deve ser automaticamente instalada no navegador, embora a Google indique que ainda pode demorar alguns dias a chegar a todos os sistemas.

A falha encontra-se relacionada com o motor gráfico 2D Skia, que é usado no navegador para a apresentação de conteúdos. A falha foi originalmente descoberta em 24 de Novembro, por um investigador da Google Threat Analysis Group (TAG).

Acredita-se que a falha esteja a ser explorada para ataques de spyware, focada em recolher informações de potenciais vítimas. Tendo em conta que a Google acredita que a falha se encontra ativamente a ser explorada, para já não foram revelados mais detalhes sobre a mesma.

Se utiliza o Google Chrome, recomenda-se que atualize o mais rapidamente possível o navegador. Isso pode ser feito acedendo diretamente a chrome://settings/help , onde a atualização deve ser automaticamente transferida e instalada.

28/11/2023
Malware propaga-se em publicidade da Google sob nome do CPU-Z

Se utilizou recentemente o Google para descarregar o popular programa CPU-Z , talvez seja melhor ter atenção de onde realmente realizou a tarefa, pois pode ter descarregado uma aplicação maliciosa.

A equipa de segurança da Malwarebytes revelou uma nova campanha de malware, que se encontra a usar a publicidade do Google para divulgar versões modificadas com malware da popular aplicação CPU-Z. O esquema começa quando os utilizadores realizam a pesquisa na Google pelo nome do programa, onde nos resultados patrocinados podem surgir sites que alegam ser os oficiais do programa.

Como se tratam de resultados patrocinados, estes surgem no topo da pesquisa, e portanto, recebem mais destaque por parte dos utilizadores. Os utilizadores mais atentos podem verificar que o domínio não corresponde ao legitimo do programa, mas nem sempre isso é suficiente para evitar que se caia no esquema.

O CPU-Z é um popular programa para Windows de monitorização da frequência dos processador e dados da memória RAM, bastante usado por quem pretenda obter mais informações sobre os seus sistemas.

Se os utilizadores acederem a estes sites falsos, propagados via a publicidade da Google, são reencaminhados para sites que prometem o download da aplicação. Este site possui um design similar a vários sites de download de programas na internet, possivelmente para tentar enganar as vítimas que podem pensar estar a descarregar a aplicação de uma fonte legitima.

No entanto, o programa descarregado acaba por executar uma instalação de malware no sistema, com o potencial de descarregar outro malware para o mesmo no futuro. A aplicação que o utilizador pretendia é também instalada, possivelmente para não levantar suspeitas.

O malware instala-se no sistema e pode descarregar mais malware, spyware ou ransomware de outras fontes.

Como sempre, a melhor forma de proteção passa pelos utilizadores evitarem aceder aos primeiros resultados de pesquisa da Google, que possuem a tag de serem anúncios, tendo em conta que nem sempre são a fonte legítíma que alegam ser.

09/11/2023
YouTube acusado de violar leis europeias ao identificar bloqueadores de publicidade

O YouTube continua a apertar a sua batalha contra os bloqueadores de publicidade, depois de ter começado a impedir os utilizadores de verem vídeos da plataforma caso tenham nos seus navegadores um bloqueador de publicidade ativo. No entanto, algumas partes apontam que esta medida da Google pode acabar por violar as leis europeias de proteção de dados, e que as autoridades governamentais podem colocar o fim a isso.

Em meados de Outubro, Alexander Hanff, expert na área da privacidade digital, lançou um processo na entidade de proteção de dados da Irlanda, a DPC. Hanff argumenta que o sistema de deteção dos bloqueadores de publicidade que o YouTube se encontra a implementar podem ser considerados como uma violação da privacidade face às leis europeias – algo que a Google nega. O mesmo classifica os scripts de identificação dos bloqueadores de publicidade como spyware, e que a Google encontra-se a aplicar os mesmos no YouTube sem consentimento dos utilizadores.

Existem várias formas como um bloqueador de publicidade pode ser identificado num navegador pelos sites. Normalmente isso ocorre através do download de um pedaço de código javascript para o mesmo, que analisa se algo foi alterado durante o carregamento do site, ou se elementos da página foram removidos ou modificados depois desta carregar.

No caso do YouTube, o que começou como uma experiência, agora encontra-se a afetar cada vez mais utilizadores a nível global, e parece que a Google vai mesmo lançar a funcionalidade para todos em breve. Quem tenha bloqueadores de publicidade ativos no YouTube, brevemente começará a receber avisos para desativar o mesmo dentro da plataforma, ou ficará limitado a ver apenas três vídeos por dia. Em alternativa, os utilizadores podem adquirir o YouTube Premium, que por entre as características, conta com a remoção da publicidade de toda a plataforma.

Como seria de esperar, esta técnica não terá sido do agrado de quem usa bloqueadores de publicidade para impedir o carregamento desses conteúdos dentro dos vídeos. O YouTube alega que os bloqueadores de publicidade violam os termos de serviço da sua plataforma, e que, portanto, a empresa estará no direito de aplicar medidas para combater os mesmos.

Hanff já tinha colocado o seu caso à Comissão Europeia em 2016, sobre o uso de sistemas de identificação de bloqueadores de publicidade, e alegando que estes são considerados uma violação da privacidade e das leis europeias, mais concretamente tendo como base o Artigo 5.3 da diretiva ePrivacy. Este artigo indica que os websites devem requerer autorização dos utilizadores antes de armazenarem ou acederem a informação nos dispositivos dos seus visitantes, como é o caso dos cookies. Na altura, a Comissão Europeia tinha indicado que o artigo não se especifica apenas para cookies, mas sim para qualquer género de código que possa ser descarregado para os dispositivos dos utilizadores sem consentimento – onde se inclui scripts que verificam bloqueadores de publicidade.

No entanto, esta decisão não veio mudar a forma como os sistemas funcionam. Ao mesmo tempo, a própria comissão europeia aparenta ter retrocedido na sua decisão um ano mais tarde, em 2017, indicando que os websites possuem a capacidade de verificar se os seus visitantes se encontram a usar bloqueadores de publicidade ou não.

O caso agora apresentado por Hanff à DPC refere-se à primeira indicação que o mesmo teria enviado à Comissão Europeia em 2016. O mesmo requer que as autoridades apliquem medidas para evitar que o YouTube e outras plataformas possam usar ferramentas para identificar quem se encontra a usar bloqueadores de publicidade.

Face ao caso, o YouTube apenas refere que irá cooperar com todas as autoridades no que seja necessário, mas volta a sublinhar que a plataforma não se encontra a violar as leis atuais com a medida que se encontra a ser aplicada. No entanto, caso se venha a confirmar que a plataforma encontra-se a violar a diretiva da ePrivacy, existe a possibilidade das autoridades aplicarem uma coima à plataforma, bem como a obrigarem a mudar a funcionalidade – nem que seja apenas para os utilizadores na União Europeia.

No entanto, para já, ainda será relativamente cedo para confirmar com toda a certeza que a plataforma tenha violado as leis europeias, algo que certamente ainda irá passar por uma longa investigação das autoridades.

08/11/2023
Falsa aplicação “RedAlert” focada para Israel instala spyware nos dispositivos

Os utilizadores em Israel encontram-se a ser alvo de uma nova campanha de spyware, que se encontra a usar uma app bastante usada na região – ainda mais em alturas de conflitos – para ajudar a população a identificar ataques de mísseis.

A aplicação “RedAlert – Rocket Alerts” é usada para alertar sobre ataques iminentes de mísseis. No entanto, durante as últimas semanas, versões maliciosas da app começaram a ser distribuídas sobre diferentes plataformas, focadas em recolher dados dos utilizadores.

As aplicações maliciosas aparentam funcionar como a app legitima, e possuem todas as funcionalidades que seriam de esperar. No entanto, em segundo plano, procedem com a recolha de dados sensíveis dos dispositivos dos utilizadores.

Apenas na Play Store, a app conta com mais de um milhão de downloads, sendo extremamente usada na região – e ainda mais depois do recente ataque terrorista dos Hamas.

De acordo com o Cloudflare, desconhece-se para já a entidade que se encontra por detrás das versões maliciosas, e quais os incentivos. No entanto, a recolha de dados abrange praticamente todos os dados possíveis de se obter dos dispositivos.

O site que se encontra a distribuir a versão maliciosa redireciona os utilizadores para uma app do iOS legitima, ou para o ficheiro APK malicioso no caso do Android.

Apesar de o site encontrar-se atualmente desativado, é possível que a campanha venha a usar outros sites ou plataformas para se distribuir, pelo que será extremamente importante os utilizadores terem atenção ao local de onde se encontram a descarregar as suas aplicações.

16/10/2023
Apple lança correção de falha zero-day para dispositivos antigos

A Apple encontra-se a disponibilizar uma atualização de software para alguns dos seus dispositivos mais antigos, para resolver uma vulnerabilidade zero-day, a qual estaria a ser explorada pelo grupo NOS para instalar o spyware Pegasus.

A falha já tinha sido corrigida para modelos mais recentes da empresa, mas tendo em conta a gravidade, a Apple decidiu lançar a atualização também para modelos mais antigos do iPhone. A falha permite que atores maliciosos possam instalar spyware no sistema através de mensagens do iMessage, criadas especificamente para explorar a falha.

A falha tinha sido corrigida nas versões mais recentes dos sistemas da empresa no dia 2 de Outubro, com o macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1, e watchOS 9.6.2. No entanto, a empresa decidiu agora lançar a atualização também para modelos mais antigos, com o iOS 15.7.9 e iPadOS 15.7.9, macOS Monterey 12.6.9, e macOS Big Sur 11.7.10.

Desta forma, modelos como o iPhone 6s e 7 podem ser atualizados para corrigir a falha, e evitarem a exploração. De notar que a falha tem sido ativamente explorada para sistemas macOS, mas encontra-se também em outros dispositivos da empresa, portanto pode ser teoricamente explorada nos mesmos.

Recomenda-se que os utilizadores com modelos mais antigos da empresa atualizem para a mais recente versão do software, de forma a garantirem a proteção contra esta falha zero-day.

12/09/2023
Milhares de dispositivos infetados com falsa app do Telegram na Google Play Store

Se esteve à procura de aplicações alternativas ao Telegram na Play Store nos últimos dias, é possível que possa ter encontrado algumas apps maliciosas no processo. Foi recentemente descoberta uma nova campanha de spyware, que se propagou pela Google Play Store, com falsas aplicações associadas ao Telegram.

De acordo com o investigador da Kaspersky, Igor Golovin, as aplicações apresentavam-se como clientes do Telegram contando com funcionalidades adicionais, de forma a cativar os utilizadores. No entanto, o objetivo era instalarem-se no sistema para procederem à recolha de dados sensíveis.

Entre os dados recolhidos encontram-se os contactos no dispositivo, nomes de utilizador, números de telefone e mensagens. Os conteúdos eram depois enviados para servidores em controlo dos atacantes.

A campanha encontra-se com o nome de “Evil Telegram”, sendo que se acredita ter origem em grupos russos. As aplicações disponíveis na Play Store continham milhares de downloads cada, sendo que foram identificadas cerca de 5 apps neste formato – entretanto removidas da plataforma da Google.

Numa primeira vista, as apps continham todas as funcionalidades que seriam de esperar de um clone do Telegram, mas com segundas intenções no código. Na realidade, a versão maliciosa é praticamente idêntica ao que existe na app oficial do Telegram, tirando um pequeno modulo adicional no código, que é usado para a recolha de informações e envio para os servidores em controlo dos atacantes.

09/09/2023
Apple corrige falhas que permitem instalar spyware sem interação dos utilizadores

Os investigadores de segurança da empresa Citizen Lab revelaram ter descoberto duas vulnerabilidades zero day em sistemas da Apple, que foram corrigidas com a recente atualização que a empresa forneceu para vários dos seus sistemas.

Apesar de, na altura, não terem sido revelados detalhes sobre as falhas, agora sabe-se que estas diziam respeito a uma forma de ataque que poderia permitir a instalação de spyware nos sistemas.

Os investigadores afirmam que as duas falhas estariam a ser exploradas pelo NSO Group, conhecido pelo seu spyware Pegasus. As mesmas poderiam permitir que o spyware fosse instalado nos dispositivos, sem interação dos utilizadores.

O ataque ficou apelidado pela empresa de BLASTPASS, e basicamente, basta aos atacantes enviarem uma mensagem via o iMessage para as vítimas. Se estas abrirem a mensagem, mesmo sem qualquer interação na mesma, acabam por poder instalar o spyware nos seus dispositivos.

Os investigadores recomendam que os utilizadores atualizem o mais rapidamente possível para as mais recentes versões do sistema da empresa, ou que ativem o Lockdown Mode.

As duas falhas identificadas – CVE-2023-41064 e CVE-2023-41061 – podem ser usadas em diferentes dispositivos, e se exploradas permitem a execução remota de código no sistema, com o potencial de se instalar malware no mesmo.

As falhas foram corrigidas com a disponibilização do macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 e watchOS 9.6.2.

08/09/2023
Versões modificadas do Signal e Telegram com spyware surgem na Google Play Store

Apesar de a Google Play Store ser uma das formas mais seguras de se descarregarem aplicações para Android, a loja de aplicações da Google não se encontra imune de possíveis apps maliciosas.

Foi exatamente isso que investigadores da ESET recentemente descobriram, onde apps modificadas do Telegram e Signal foram identificadas tanto na Play Store como na Samsung Galaxy Store, contendo spyware para espiar as atividades dos utilizadores.

As aplicações em questão foram distribuídas com o spyware BadBazaar, que é conhecido por ter associações com grupos na China. Acredita-se que o mesmo tivesse como objetivo recolher dados sensíveis de utilizador em diferentes países, onde se inclui Portugal.

O BadBazaar possui capacidade de roubar a localização dos dispositivos, registo de chamadas e SMS, realizar a gravação de chamadas, tirar fotos e vídeos com a câmara sem informar os utilizadores, recolher os dados de contactos e recolher ficheiros no equipamento.

Os investigadores revelaram terem descoberto duas aplicações na Play Store, com os nomes de Signal Plus Messenger e FlyGram, que afirmavam serem versões modificadas dos clientes do Signal e Telegram, contendo funcionalidades adicionais.

De acordo com os investigadores, o FlyGram recolhia dados de contactos e contas da Google, bem como registos de redes wifi por onde o utilizador se encontrava, enviando essa informação para sistemas em controlo dos atacantes.

Ambas as aplicações aparentavam funcionar corretamente como clientes de email, usando para tal a ligação que é possível de se realizar a contas do Signal e Telegram, através da leitura de códigos QR.

Ambas as aplicações foram entretanto removidas da Play Store da Google, mas ainda se encontram acessíveis na Samsung Galaxy Store, onde teriam cerca de 5000 instalações – embora as apps estivessem disponíveis também de forma isolada a partir da web, onde os utilizadores as podiam instalar diretamente, portanto os valores podem ser consideravelmente mais elevados.

30/08/2023
FBI estaria a usar spyware Pegasus mesmo depois do bloqueio de Biden nos EUA

No início deste ano, o New York Times tinha revelado que o governo norte-americano estaria a comprar e usar spyware criado pela “NSO Group”, um grupo de hacking em Israel. O spyware, conhecido como “Pegasus” poderia instalar-se discretamente em diversos smartphones, realizando as suas atividades de espionagem sem conhecimento dos utilizadores.

Em Março de 2023, o governo de Biden teria assinado uma ordem executiva, impedindo as agências norte-americanas de usarem este spyware nas suas atividades. No entanto, de acordo com as mais recentes informações, apesar desta ordem, o spyware ainda se encontra a ser ativamente usado.

De acordo com uma nova investigação do New York Times, o FBI ainda se encontra a usar o spyware para seguir alguns suspeitos no México, ignorando a ordem executivo que Biden assinou no início deste ano.

Em comunicado, o FBI afirma que terá adquirido os serviços pela entidade Riva Networks, sem reconhecer que esta se encontraria a adquirir o spyware da NSO. A Riva Networks estaria a fornecer serviços de tracking, para identificar e localizar suspeitos de cartéis de droga no México, num software que seria conhecido como “Landmark”.

É importante relembrar que o FBI possui um histórico de associação com o spyware Pegasus. Ainda antes da ordem executiva, foi conhecido que a entidade estaria a usar o spyware para monitorizar as atividades de cidadãos norte-americanos.

De relembrar que o NSO Group e o seu spyware enfrentaram várias ondas de críticas por permitirem a vigilância do governo, contornando algumas das proteções implementadas nos sistemas e dispositivos que eram afetados pelo mesmo. O spyware terá sido usado em várias ocasiões, contra diversos “alvos” das autoridades norte-americanas, jornalistas e outras fontes que fossem consideradas importantes para o governo.

01/08/2023
Malware para Android distribui-se como aplicação de conversa segura

Uma nova campanha de spyware encontra-se a propagar sobre dispositivos Android, levando ao roubo de informação sensível dos dispositivos dos utilizadores. O malware encontra-se a ser distribuído sobre uma aplicação com o nome de “SafeChat”, que é capaz de infetar os dispositivos com spyware para recolher diversa informação sensível.

De acordo com os investigadores da empresa de segurança CYFIRMA, o malware encontra-se focado em roubar dados das conversas de plataformas como o Telegram, Signal, WhatsApp, Viber, e Facebook Messenger. Uma vez obtidos os dados, estes são enviados para sistemas em controlo dos atacantes, e podem ser usados para recolher dados sensíveis e conversas privadas.

Os investigadores acreditam que a campanha de malware encontra-se a propagar por um grupo conhecido como “Bahamut”, na Índia, e que é propagado via mensagens diretas enviadas para os utilizadores via WhatsApp. Acredita-se que os alvos podem ser pessoas especificas, invés de ser um malware focado “para todos”.

Os atacantes tentam levar as vitimas a instalar o malware na promessa de que devem transitar para uma plataforma segura de conversação, que será a app do Safe Chat, e onde devem manter a comunicação com os seus amigos e familiares.

A aplicação do Android usa o serviço de Acessibilidade do Android para realizar ações diretamente no sistema, e gerir o mesmo sem a interação do utilizador. O malware pode recolher as conversas de várias aplicações, dados sensíveis, imagens, contactos, mensagens SMS e registos de chamadas. É ainda possível recolher os dados de localização via GPS em tempo real.

O malware tenta ainda excluir-se da lista de apps otimizadas do sistema, que normalmente é usado para terminar apps em segundo plano para poupar bateria – desta forma pode manter as atividades em segundo plano sem interrupções.

Como sempre, os utilizadores devem ter extremo cuidado em apps que sejam fornecidas por fontes não oficiais. Apesar de não ser imune a malware, a Google Play Store ainda é o melhor local para descarregar aplicações de forma segura.

31/07/2023
Apple confirma nova falha zero-day nos seus sistemas

A Apple lançou um conjunto de atualizações de segurança, focadas em corrigir falhas descobertas recentemente no sistema da empresa – e que já estariam a ser exploradas ativamente para ataques.

As novas falhas zero day foram identificadas em vários modelos do iPhone, iPad e Mac. A falha encontra-se classificada como a CVE-2023-37450 e foi descoberta por um investigador ainda anónimo. Tendo em conta que as falhas se encontram a ser ativamente exploradas, não foram revelados detalhes sobre as mesmas.

No entanto, a Apple já lançou a correção como parte do sistema Rapid Security Response, sendo que as atualizações devem chegar automaticamente a todos os utilizadores com dispositivos afetados.

De relembrar que este sistema da Apple foi criado exatamente para prevenir que falhas zero-day possam ser exploradas durante longos períodos de tempo, e evitando que os utilizadores tenham de aguardar que uma nova versão do sistema operativo seja lançada para terem de receber a correção.

Do que se sabe da falha, esta encontra-se associada com o motor WebKit, que se encontra usado nos sistemas da Apple, e permite aos atacantes executarem código remoto no sistema. Este ataque pode ser explorado apenas com o acesso a sites comprometidos e criados especificamente para explorar a falha.

A Apple começou a lançar a correção via o sistema RSR no início do dia, mas alguns utilizadores reportam que a atualização foi suspensa depois de terem começado a surgir erros em certas aplicações, que apresentavam a mensagem de que o navegador não seria suportado para uso das apps – sobretudo em apps que contam com vertentes de web app.

Espera-se que mais detalhes sobre a falha venham a ser revelados em breve. No entanto, esta é a decima falha zero-day que a Apple corrige em 2023. Ainda no início deste mês foram reveladas três falhas zero-day, exploradas para a instalação de spyware nos dispositivos de utilizadores alvo.

11/07/2023
UE pode aprovar lei que iria permitir vigilância massiva de jornalistas

Vários membros da Comissão Europeia aprovaram de forma recente uma nova proposta de legislação, que caso seja aprovada, pode dar permissões aos governos locais de monitorizarem as atividades de jornalistas como parte de medidas de “segurança nacional”.

A European Media Freedom Act (EMFA) foi publicada durante a semana passada, e poderá permitir às agências governamentais terem mais controlo sobre os seus poderes de vigilância dos jornalistas, o que inclui a capacidade de integrarem até spyware nos dispositivos móveis dos mesmos.

Originalmente proposta em Setembro do ano passado, a EMFA teria como objetivo melhorar a liberdade de imprensa no mercado europeu, criando regras para garantir a independência dos meios de imprensa e dos jornalistas.

No entanto, no início deste mês, a França integrou na lei uma exceção, que pode permitir às autoridades colocarem spyware nos dispositivos dos jornalistas, como parte de medidas que sejam consideradas como sendo de “segurança nacional” para os Estados membros da União Europeia.

Com esta exceção, os dispositivos dos jornalistas podem ser infetados com spyware, caso se acredite que os mesmos estejam em contacto com fontes que podem vir a comprometer a segurança nacional de um pais. No entanto, a extensão do que pode ser considerado um “risco” para as autoridades é grande, sendo que pode abranger crimes como atentados ou pirataria. Estes podem agora ser considerados uma justificação legal para que as autoridades tenham a capacidade de usar spyware nos dispositivos dos jornalistas.

Várias entidades de defesa da liberdade dos meios de imprensa já alertaram que, com esta alteração de “última hora”, pode-se abrir as portas para possíveis abusos da lei, que vão além de manter a ideia original da EMFA.

A European Federation of Journalists, que representa mais de 320.000 jornalistas em 45 países, afirma encontrar-se preocupada com as implicações destas medidas, alegando que pode colocar tanto os jornalistas como as suas fontes em risco.

Christophe Deloire, secretária geral da “Reporters Without Borders”, afirma mesmo que esta nova lei pode colocar em perigo o jornalismo na europa.

27/06/2023
Apple corrige três falhas de segurança exploradas por spyware

A Apple confirmou ter lançado uma correção para três vulnerabilidades zero-day, que estariam a ser usadas para instalar spyware no iPhone via o iMessage.

A empresa confirmou ter corrigido três falhas, que eram conhecidas de estarem a ser usadas em ataques, em versões anteriores ao iOS 15.7. Estas falhas estavam a ser exploradas para a instalação de spyware conhecido como “Triangulation”, que era usado para sofisticados ataques contra alvos específicos.

Segundo a empresa Kaspersky, os atacantes exploravam falhas no iOS para obterem acesso à raiz do sistema e ao kernel, onde depois mantinham o código malicioso focado em roubar dados sensíveis das vítimas. O malware permanecia nos dispositivos das vítimas na memória do mesmo, pelo que o reiniciar do sistema era suficiente para remover o malware – mas nada impedia o mesmo de voltar a ser instalado.

A falha estaria a ser explorada com mensagens enviadas via iMessage, que eram capazes de realizar o ataque e proceder à instalação do spyware no sistema.

A empresa de segurança acredita que o spyware estaria a ser associado com entidades russas, nomeadamente com o FSB, usando o acesso para recolher dados de alvos específicos em diferentes países.

Os utilizadores são aconselhados a atualizarem os seus dispositivos para a versão mais recente do sistema operativo que se encontre nos mesmos, de forma a evitarem a exploração das falhas.

21/06/2023
Novas aplicações de espionagem descobertas na Google Play Store

De tempos a tempos surgem relatos de apps maliciosas que conseguem escapar das medidas de proteção da Google, chegando aos utilizadores via a Play Store. Hoje chega a confirmação de um conjunto de novas apps deste género, que podem ter levado ao roubo de informações sensíveis de milhares de utilizadores.

De acordo com a empresa Cyfirma, foi recentemente descoberto um conjunto de aplicações maliciosas na Play Store da Google, que teriam sido enviadas por um grupo de hackers indiano conhecido como “DoNot”, focado em roubar informações de personalidades de relevo em diferentes setores – e que se encontra em atuação desde 2018.

As duas aplicações em questão seriam a nSure Chat e iKHfaa VPN, ambas enviadas para a Play Store sobre o programador com o nome “SecurITY Industry”. De acordo com a empresa de segurança, ambas as aplicações continham código que poderia permitir a instalação de spyware nos dispositivos das vítimas.

As aplicações aparentam possuir um número relativamente pequeno de downloads, o que leva os investigadores a crer que se trate de apps focadas para ataques direcionados a vítimas especificas, possivelmente alvo de esquemas de phishing.

As aplicações podem recolher dados como os contactos, localizações, obter acesso aos ficheiros no dispositivo e controlo dos mesmos remotamente. Os conteúdos podem ainda ser enviados para sistemas em controlo dos atacantes, onde seriam depois usados para a espionagem.

As aplicações usadas para esta campanha de espionagem ainda se encontram disponíveis, neste momento, sob a Google Play Store, embora a empresa tenha sido informada da existência das mesmas.

19/06/2023
Google corrige falha no Android explorada para ataques de spyware

A Google encontra-se a disponibilizar a mais recente atualização de segurança do Android, sendo que esta conta com algumas correções importantes, incluindo de uma falha zero-day que era conhecida desde o final do ano passado.

A nova atualização do Android corrige uma vulnerabilidade zero-day, associada com o kernel do GPU Mali, que estaria a ser usada para ataques. Esta falha era usada para campanhas de espionagem, onde os atacantes injetavam spyware nos dispositivos pela mesma – a campanha parece ser focada para entidades especificas, e não algo que seja propagado em larga escala.

Praticamente todas as entidades de segurança classificaram esta falha como sendo grave, sendo que ainda mais tendo em conta que estaria já a ser ativamente explorada para ataques. A Threat Analysis Group (TAG) da Google, responsável pela identificação da falha, indica que esta encontrava-se em foco para dispositivos da Samsung, embora pudesse ser aplicada em todos os modelos com GPUs Mali.

A Samsung foi uma das primeiras a lançar proativamente a correção para a falha, em parte porque eram os dispositivos da empresa os mais propícios a serem o alvo. No entanto, a correção chega agora para todos os dispositivos Android como parte do pacote de segurança mensal da Google para o sistema.

De notar que, apesar de ter sido fornecida pela Google, ainda cabe aos diversos fabricantes lançarem a atualização para os seus dispositivos, processo que pode demorar algumas semanas. A atualização deve chegar para todos os dispositivos com o Android 10 ou mais recente, que ainda estejam a ser suportados pelas fabricantes.

07/06/2023
Nova vulnerabilidade zero-day no Android explorada para instalar spyware

A Google lançou uma nova atualização de segurança para o Android, focada em corrigir uma falha zero-day de extrema importância, que poderia ser usada para instalar spyware em sistemas comerciais.

A falha explora uma vulnerabilidade no kernel do Linux, que pode permitir aos atacantes obterem permissões elevadas dentro do sistema, e usarem as mesmas para a instalação de spyware sem a interação dos utilizadores.

De acordo com o relatório da Google Threat Analysis Group (TAG), esta falha foi identificada durante o mês de março, e acredita-se que esteja a ser ativamente usada para ataques contra dispositivos no mercado, a grande maioria da Samsung.

Os investigadores da Google atribuíram a exploração da falha a um grupo de hackers em Espanha, conhecido como Variston. De momento, acredita-se que a falha esteja a ser explorada para ataques diretos contra potenciais vítimas de interesse para os atacantes.

A correção desta falha foi lançada como parte do pacote de atualizações de Maio do Android. Este pacote deve começar a ser disponibilizado para os sistemas afetados dentro dos próximos dias – embora possa ainda demorar algum tempo a chegar a todos os dispositivos suportados, tendo em conta o processo de aprovação do mesmo.

06/05/2023
Google revela campanhas de spyware a explorarem falhas no Android e iOS

Os investigadores da divisão de segurança da Google revelaram ter descoberto um conjunto de novas vulnerabilidades, que afetam o Android, iOS e Chrome, que podem ser exploradas para instalação de spyware nos dispositivos.

Os investigadores da Threat Analysis Group (TAG) revelaram recentemente uma nova falha zero-day, que afeta os sistemas Android e iOS, bem como o navegador Chrome, e que pode ser usada para a instalação de spyware nos dispositivos associados. As falhas foram classificadas como zero-day, tendo em conta que se acredita encontrarem a ser usadas para ataques em larga escala.

Os investigadores indicam que começaram a verificar indícios da falha estar a ser explorada desde Novembro de 2022, mas esta poderia encontrar-se faz bastante mais tempo antes disso. O esquema começa quando as vítimas recebem links do bit.ly, encurtados, e que redirecionam as mesmas para sites cuidadosamente criados para explorar as falhas. Ao acederem, os utilizadores poderiam encontrar-se a instalar malware nos seus dispositivos sem saberem.

A propagação do ataque começa sobretudo por mensagens SMS, enviadas para as potenciais vítimas. O método de ataque varia conforme o dispositivo, sendo que em equipamentos da Apple é instalada uma aplicação maliciosa via ficheiros IPA, que se oculta no sistema.

Os investigadores da Google revelam ainda ter descoberto uma segunda campanha, focada desta vez para o navegador Samsung Internet, que terá começado a surgir em massa desde Dezembro de 2022. A mesma foca-se em vítimas que estejam sobre dispositivos Android e, mais concretamente, em dispositivos da Samsung onde o navegador padrão da mesma esteja a ser usado.

Apesar de serem consideradas campanhas diferentes entre si, estas focavam-se sobretudo em atacar dispositivos de personalidades reconhecidas, que seriam depois usados para espionagem. As campanhas eram distribuídas por várias redes em mais de 1000 domínios diferentes, as quais também continham muitas das páginas web que eram usadas para o ataque.

29/03/2023
SHEIN para Android estaria a recolher dados potencialmente sensíveis

De tempos a tempos, a SHEIN é alvo de algumas controvérsias, sobretudo pela forma como os dados dos utilizadores são tratados dentro da plataforma. Relembrando que, em 2018, a empresa mãe da SHEIN, a Zoetop, foi alvo de duras críticas pelas falhas verificadas sob a gestão de um ataque, onde dados de clientes da empresa terão sido comprometidos.

A investigação deste ataque ainda se prolonga para 2022, com algumas fontes a indicarem que o ataque foi consideravelmente mal gerido pela empresa, e igualmente para o facto que a SHEIN terá tentado desviar a atenção do mesmo para o categorizar de algo menor.

Isto foi verificado com o facto que o tribunal de Novas Iorque aplicou uma coima de 1.9 milhões de dólares pelo ato.

No entanto, na mesma altura em que a resolução deste caso era conhecida, a aplicação da SHEIN recebeu uma atualização, que voltou silenciosamente a levantar algumas questões sob as práticas da empresa.

De acordo com um grupo de investigadores da Microsoft, a aplicação da SHEIN para Android foi atualizada recentemente com algumas funcionalidades que, segundo os investigadores, podem ser consideradas de “”spyware” para marketing.

Segundo os mesmos, a aplicação da SHEIN foi atualizada no final de 2022 para conter, por entre as suas funcionalidades, a capacidade de registar todos os conteúdos copiados para a Área de Transferência do Android.

Ou seja, a aplicação poderia ter acesso a todos os conteúdos que eram copiados e colados dentro do Android, os quais podem conter informação potencialmente sensível, como senhas e emails.

Isto poderá ser consideravelmente prejudicial para a privacidade e segurança dos utilizadores, sobretudo tendo em conta que a app conta com mais de 100 milhões de downloads. Além disso, desconhece-se exatamente qual a utilidade desta função dentro da app, ou para o que a empresa usaria os dados.

De acordo com os investigadores da Microsoft, a aplicação base da SHEIN para Android conta com módulos que são capazes de usar as próprias funcionalidades do Android, em segundo plano, para recolherem todos os conteúdos que são copiados para a Área de Transferência. Estes dados podem ser depois enviados para os sistemas da SHEIN.

A aplicação aparenta encontrar-se focada na recolha de conteúdos que tenham sinais do dólar ou de preços em geral – possivelmente para usar essa informação nas pesquisas dentro da app. O problema encontra-se que nem todos os conteúdos que são copiados para a Área de Transferência do Android com sinais de dólar serão de preços. Alguns utilizadores podem usar senhas que possuem esse sinal – e que serão, dessa forma, recolhidos pela app.

De notar que os investigadores da Microsoft afirmam não ter conhecimento de qualquer uso malicioso desta informação por parte da SHEIN, mas a recolha destes dados pode ser considerada sensível e desnecessária, sobretudo tendo em conta que a informação potencialmente recolhida inclui dados sensíveis e até dados de login dos utilizadores – que muitas vezes copiam essa informação para o sistema.

De notar que a Google também tem vindo a melhorar consideravelmente a segurança dos utilizadores contra ataques que possam ter como ideia roubar estes dados. Nas mais recentes versões do Android existem limites, para as apps, sob que conteúdos podem ser recolhidos da área de transferência. Ainda assim, será estranho de verificar uma app a tentar recolher esta informação dos utilizadores.

12/03/2023
Ameaças para Android em Portugal aumentam 32%

As deteções de ameaças Android aumentaram em mais de 50% entre o 2.º e o 3.º quadrimestre de 2022, confirmou a ESET no seu mais recente Relatórios de Ameaças. O Adware e as apps ocultas que escondem os seus ícones para dificultar a remoção pelo utilizador (isto é, “Hidden Apps”) são os principais responsáveis pelo crescimento desta categoria de ciberameaça, que em Portugal cresceu 32% entre quadrimestres.

Entre o crescimento global de deteções de ameaças Android, muitas das quais estão presentes em lojas de apps de terceiros, a maioria refletiu tentativas de enriquecimento a partir de anúncios. Perto de 70% de todas as deteções de ameaças Android no 3.º quadrimestre foram deste tipo. Estas deteções, assinaladas como Aplicações Potencialmente Indesejadas (Potentially Unwanted Applications – PUAs), são aplicações projetadas para exibir anúncios em excesso ao utilizador com o objetivo de gerar receita para os criadores da aplicação.

O Adware do tipo “Fyben” em particular cresceu uns impressionantes 1100% entre quadrimestres. Esta deteção está associada a jogos móveis. O 3.º quadrimestre cobre um período (setembro a dezembro) em que developers lançam jogos novos ou versões atualizadas de jogos existentes para tirar partido do comércio no Natal. Nalguns casos, estes jogos não são lançados em todos os países. Assim, os utilizadores que não têm acesso oficial aos jogos procuram-nos em lojas ou websites não oficiais, onde as ameaças proliferam.

Tendências e futuro das ameaças Android

A prevalência de ameaças como as PUAs, que fazem dinheiro a partir do visionamento de anúncios, não foram as únicas a marcar a paisagem de ameaças Android no final de 2022. O Spyware também aumentou a sua presença graças a kits de Spyware prontos a usar e de fácil acesso disponíveis em fóruns online e usados por cibercriminosos amadores.

Nesse contexto, a ESET alerta que a paisagem de ameaças Android pode mudar muito em 2023. Chatbots potenciados por inteligência artificial como o ChatGPT já estão a ser usados para desenvolver novas ferramentas maliciosas, embora ainda não haja conhecimento de malware escrito assim para Android. Além disso, não se podem descartar os impactos de grupos cibercriminosos organizados, que continuam a desenvolver Spyware direcionado para recolher informação de alvos de alto perfil ou grupos vulneráveis de cidadãos.

Em todo o caso, os bons comportamentos online, aliados a produtos completos de proteção que mitigam os perigos das ameaças Android, são uma combinação poderosa para usar o smartphone com mais confiança e em maior segurança.

28/02/2023
Samsung revela novo sistema de proteção a ataques zero-click em mensagens

A Samsung encontra-se a reforçar a segurança dos utilizadores em dispositivos da empresa, com uma nova funcionalidade que pretende proteger os mesmos de ataques conhecidos como “zero-click”.

Os ataques zero-click são normalmente enviados sobre mensagens, e ocorrem quando um determinado conteúdo é enviado em anexo das mensagens, e pode instalar spyware ou outro código malicioso nos dispositivos, sem a necessidade de interação dos utilizadores.

Este género de ataques têm vindo a ficar consideravelmente mais populares nos últimos anos, sendo que um dos mais reconhecidos foi o ataque de 2020, que era usado no iOS para instalar o spyware Pegasus em telefones de jornalistas e ativistas – e que terá realizado as atividades entre 2017 e 2020.

A pensar nisto, a Samsung revelou que vai adicionar uma nova funcionalidade sobre os seus dispositivos, conhecida como Message Guard. Esta nova funcionalidade foca-se em proteger os utilizadores de ataques zero-click.

A empresa garante que esta nova funcionalidade pode proteger os dispositivos de ataques, antes mesmos destes acontecerem. O mesmo coloca imagens em formato PNG, JPG/JPEG, GIF, ICO, WEBP, BMP, e WBMP sobre uma quarentena, identificando as que tenham conteúdos potencialmente maliciosos.

O conteúdo é analisado numa sandbox isolada, sendo que o sistema verifica o código da imagem para identificar possíveis códigos maliciosos na mesma. Se for identificado, o conteúdo é neutralizado e o utilizador informado de tal.

Esta nova funcionalidade encontra-se desde já disponível para o Galaxy S23, e espera-se que venha a chegar a outros modelos da linha durante os próximos meses. De momento esta funciona com o Samsung Messages e a aplicação de mensagens da Google.

17/02/2023
iMessage pode agora alertar caso as mensagens sejam comprometidas

A Apple revelou um conjunto de novas funcionalidades de segurança para o iOS e iCloud, onde se encontra também uma nova ferramenta que pretende proteger as conversas dos utilizadores.

Através de uma nova funcionalidade no iMessage, os utilizadores podem agora ter a certeza que estão a falar com a pessoa que pretendem, e que as mensagens não estão a ser intercetadas ou observadas por terceiros. A Apple afirma que este novo sistema será particularmente útil para utilizadores que podem ser alvo de ataques direcionados, como o caso de jornalistas, ativistas e políticos.

Para que a funcionalidade funcione, ambos os utilizadores da conversa do iMessage necessitam de ter o “iMessage Contact Key” ativo. Com isto, caso as mensagens estejam a ser observadas por terceiros, a empresa irá enviar um alerta para os contactos, indicando do caso.

A Apple sublinha que esta funcionalidade será considerada uma medida adicional de segurança para alvos potencialmente em risco que usem o iMessage para comunicação.

Os utilizadores poderão ainda certificar-se que as chaves dos seus dispositivos correspondem em outros formatos, como é o caso de presencialmente e através de códigos QR. Este género de prática é algo bastante vulgar de se encontrar em plataformas de comunicação focadas para a privacidade e segurança.

A medida não é de todo inesperada, sendo que a própria Apple reconhece que o iMessage tem vindo a ser cada vez mais o alvo de ataques e de obtenção de informações, pelo que funcionalidades deste género serão fundamentais para quem use a plataforma em comunicações que se pretendam manter secretas.

No entanto, ainda se desconhece se este sistema irá ajudar os utilizadores nos casos em que os seus dispositivos possam ter sido comprometidos por spyware – algo que, novamente, não é de todo impensável até para utilizadores no iOS.

Espera-se que a novidade venha a ficar disponível para todos os utilizadores na plataforma no início do próximo ano.

07/12/2022
Mozilla e Microsoft removem TrustCor das entidades certificadas por suspeitas de abusos

Todos os navegadores e sistemas no mercado contam com um conjunto de empresas reconhecidas na emissão de certificados de segurança, que garante que os navegadores reconhecem os certificados como seguros. Estas são conhecidas como “Certificate Authorities (CA)”.

No entanto, a segurança apenas pode ser garantida quando a CA também se foca ela mesma nessa segurança. É por isso que a Microsoft, Mozilla e possivelmente outras empresas criadoras de navegadores no mercado estão agora a retirar a empresa TrustCor da lista de entidades CA reconhecidas.

Em causa encontra-se as suspeitas que esta entidade pode ter sido usada para certificar programas de spyware, tendo trabalhado com várias entidades externas para este fim. Como se trata de uma CA reconhecida no mercado, a maioria dos sistemas e navegadores não iriam apresentar problemas aos conteúdos com certificados das mesmas.

A discussão sobre as práticas da TrustCor terá começado numa lista de discussão online, onde Joel Reardon, professor na Universidade de Calgary, partilhou a descoberta de uma SDK maliciosa que estava escondida em várias apps para Android. Esta SDK veio, mais tarde, a confirmar-se ser um spyware.

O software encontrava-se certificado para uma empresa sobre o nome de Measurement Systems, que possui aparentes relações com a TrustCor, ao ponto de se encontrar sediada no mesmo local.

Um dos representantes da TrustCor terá mesmo entrado na discussão, mas aparentemente não forneceu detalhes concretos sobre o caso. Apesar de não existirem provas que a TrustCor tenha diretamente fornecido os certificados para conteúdos maliciosos, sobre o nome da Measurement Systems, a falta de resposta da empresa terá levado a que esta fosse removida das entidades CA fidedignas dos navegadores e sistemas da Mozilla e Microsoft.

Eventualmente esta medida deve chegar também a outras plataformas, com maior destaque para o Google Chrome. A Apple também deve seguir o mesmo caminho, mas em ambos os casos ainda não foi dada nenhuma informação concreta de quando a CA será retirada do programa.

02/12/2022
Google acusa empresa espanhola de criar spyware para explorar falhas zero-day

A Google encontra-se a acusar uma empresa em Espanha de criar um spyware, focado em explorar falhas zero-day dos navegadores e sistemas maus usados atualmente no mercado.

A empresa Variston IT encontra-se a ser acusada pela Google de criar spyware focado para explorar falhas zero-day no Google Chrome, Mozilla Firefox e no Windows, sendo que as atividades da empresa neste sentido terão começado em Dezembro de 2018.

De acordo com os investigadores da Google Threat Analysis Group (TAG), a empresa usa as mais variadas técnicas para explorar falhas zero-day nos navegadores mais usados do mercado, juntamente com o Windows e Microsoft Defender, no sentido de instalar spyware que é depois usado para campanhas dedicadas para indivíduos específicos.

A Variston possui apenas um website básico na internet, que conta com algumas informações da empresa, e onde esta afirma fornecer serviços de informação e segurança para os seus clientes, bem como desenvolver patches de segurança específicos para software dos seus clientes.

Os investigadores acreditam que a empresa terá usado falhas zero-day, que foram corrigidas no final de 2021, para instalar malware nos dispositivos de várias vítimas focadas para espionagem. As vitimas apenas necessitavam, em muitos dos casos, de aceder a um site especialmente criado para atacar os seus dispositivos explorando estas falhas.

Os investigadores da Google afirmam que tiveram conhecimento das práticas da empresa espanhola depois de terem sido alertados por uma entidade anónima na plataforma da Google. Acredita-se que a ferramenta usada para a campanha de spyware terá sido descontinuada, tendo em conta que as falhas zero-day que as mesmas exploravam foram também corrigidas.

No entanto, os investigadores alertam que a empresa pode ter igualmente evoluído as suas ferramentas com o objetivo de explorar outro género de falhas zero-day nos sistemas.

02/12/2022
FBI terá ponderado usar o spyware Pegasus

O spyware Pegasus ficou reconhecido como um dos spywares mais perigosos dos últimos anos, tendo sido desenvolvido pela NSO Group. No entanto, de acordo com uma recente investigação do The New York Times, o FBI pode ter ponderado usar este spyware em investigações criminais nos EUA.

Os dados apontam que, entre 2020 e 2021, o FBI terá estado em avançadas análises sobre como integrar o spyware para investigações criminais. As autoridades terão mesmo criado planos sobre como o Pegasus poderia ser integrado para a espionagem de atividades criminosas, ao mesmo tempo de como este deveria ser reportado sobre casos ativos e no tribunal.

De notar que os documentos não referem se as autoridades teriam como objetivo usar o spyware sobre cidadãos norte-americanos ou apenas para entidades exteriores. No entanto, de relembrar que, no início do ano, foi descoberto que as autoridades terão criado uma versão modificada do Pegasus, conhecida como Phantom, que teria como alvo números de telefone nos EUA.

Eventualmente, as autoridades terão optado por não usar o Pegasus para atividades de investigação criminal. Uns meses mais tarde, a NSO Group entrava para a lista de empresas bloqueadas nos EUA, depois de ter sido descoberta a atividade da empresa e a sua relação com este spyware.

Apesar de as autoridades terem optado por não usar de imediato o spyware, os documentos também reportam que estas deixaram em aberto a possibilidade do mesmo ser usado no futuro – embora nada de concreto tenha vindo a ser realizado.

12/11/2022
Dispositivos da Samsung na mira de atacantes com novas falhas

A Samsung sempre se focou fortemente na segurança dos seus dispositivos, mas parece que existem algumas vulnerabilidades que estão agora a ser exploradas em determinados modelos da empresa para ataques zero-day.

Segundo revela a investigadora Maddie Stone, da equipa do Google Project Zero, pelo menos três dispositivos bastante populares da Samsung encontram-se a ser ativamente explorados para ataques através de falhas zero-day no software dos mesmos.

Em questão encontram-se os modelos Galaxy A50, Galaxy A51 e Galaxy S10, os quais a investigadora afirma que possuem falhas de segurança no software que estão já a ser ativamente exploradas para ataques.

Segundo a mesma, as falhas apenas se encontram nos dispositivos que possuem o chip Exynos, mas é grave o suficiente para levar ao potencial compromisso de dados dos utilizadores no equipamento ou instalação de malware no mesmo.

As falhas encontram-se a ser exploradas neste momento para a instalação de spyware, o que aponta que pode tratar-se de um ataque direcionado para certos grupos ou personalidades. No entanto, as falhas existentes no software da Samsung facilitam esta tarefa – e a investigadora afirma que estão a ser ativamente exploradas.

Acredita-se que as falhas ainda estão ativas no sistema, sendo que a Samsung não terá lançado uma atualização para a mesma, e que o kit de exploração usado pelos atacantes encontra-se a circular sobre alguns meios – mas como ainda não foi completamente identificado, isto também dificulta a tarefa de encontrar a resolução completa do problema.

Por enquanto, os utilizadores são aconselhados a terem atenção às apps que instalam nos seus dispositivos, sobretudo quando originárias de fontes desconhecidas.

11/11/2022
Novo malware para Android rouba dados e regista áudio

Foi recentemente descoberto um novo malware, que pode afetar os utilizadores do sistema Android, e que possui como foco roubar dados pessoais dos sistemas das vítimas, bem como registar conversas através do microfone dos dispositivos.

Apelidado de RatMilad, este malware foi descoberto inicialmente pela empresa de segurança Zimperium, que alerta para a existência do mesmo com foco em espionagem. O malware, que possui traços de spyware, foi criado para roubar informações sensíveis dos utilizadores e dados que podem ser usados para variados fins. O objetivo parece ser focar os ataques do malware contra diferentes entidades e executivos das mesmas.

Os dados que são recolhidos do malware, segundo os investigadores, são depois usados para aceder aos sistemas internos das empresas, e eventualmente recolher ainda mais informações ou criar chantagem para tal.

O malware distribui-se sobretudo sobre uma falsa aplicação, que promete aos utilizadores criarem números de telefone virtuais. Esta aplicação, uma vez instalada, acaba por levar à instalação do malware no sistema. Os utilizadores podem nem verificar que se trata de malware, já que o funcionamento da mesma aparenta ser regular – embora a ativação dos números de telefone virtuais nunca aconteça.

Os criadores do malware parecem mesmo ter criado um site focado para a aplicação, com o intuito de dar mais legitimidade ao esquema. O ficheiro de instalação da aplicação distribui-se sobretudo sobre o Telegram, ou sobre plataformas de comunicação direta.

Uma vez instalado, o malware possui acesso a praticamente todos os dados pessoais no smartphone, incluindo mensagens, emails, contactos, entre outros. É também capaz de ativar o microfone, para começar a gravar áudio em qualquer momento.

Os dados, uma vez recolhidos, são enviados para servidores remotos em controlo dos atacantes.

Como sempre, os utilizadores são a primeira linha de defesa, e devem sempre ter atenção aos locais de onde descarregam as suas aplicações. Mesmo que a Google Play Store não seja o local 100% seguro, ainda é o mais credível para se descarregar aplicações no sistema Android.

05/10/2022
Falsos navegadores Tor distribuídos em campanha de malware na China

Se utiliza regularmente o navegador Tor, talvez seja melhor ter cuidado de onde o descarrega. Os investigadores da empresa Kaspersky revelaram recentemente uma nova campanha, que se encontra a usar o Tor Browser como isco para levar os utilizadores a instalarem malware nos sistemas.

A campanha parece estar a ser focada sobretudo para utilizadores na China, onde estes são levados a instalar o navegador Tor, mas que foi modificado maliciosamente para conter spyware no processo.

A maioria dos utilizadores que usam o navegador Tor fazem-no exatamente pela privacidade e segurança adicional que o mesmo fornece, portanto ter uma versão maliciosa com o intuito de roubar informações privadas dos utilizadores é certamente algo a ter em conta.

Esta campanha, segundo os investigadores, aproveita o facto que o domínio principal onde o navegador Tor se encontra está bloqueado na China. Com isto, muitos utilizadores acedem a plataformas de terceiros para descarregarem o mesmo.

Aproveitando este facto, vários vídeos no YouTube e em resultados dos motores de pesquisa locais estão a direcionar os utilizadores para sites criados especificamente para distribuir versões modificadas do programa.

Quando instalado no sistema, esta versão do navegador aparenta ser totalmente normal, e funciona como se esperava. Mas em segundo plano encontra-se a guardar os dados que o utilizador use no mesmo, bem como a enviar os mesmos para servidores remotos.

Além disso, esta versão modificada do navegador Tor tenta ainda descarregar outro género de malware de sistemas remotos, levando as vítimas a ficarem mais expostas a possíveis ataques. Os investigadores afirmam que todos os pedidos foram feitos para servidores localizados na China, possivelmente para evitar possíveis bloqueios.

Curiosamente, este malware parece criado para identificar os utilizadores e recolher detalhes sobre os mesmos, e não tanto para roubar dados como senhas ou afins. O malware parece ter sido criado sobre uma campanha de spyware, como forma de tentar infetar sistemas de vítimas que tentam usar o navegador Tor para ocultar as suas atividades.

04/10/2022
União Europeia pretende criar novas leis de proteção para jornalistas

A Comissão Europeia encontra-se a trabalhar em novas leis que podem garantir mais proteção para jornalistas, sobretudo contra ataques de spyware. Uma nova legislação em estudo poderá vir a fornecer mais proteções para os jornalistas deste género de ataques – muitas vezes direcionados.

A nova European Media Freedom Act (EMFA), revelada durante o final da semana passada, pretende fornecer novas medidas para proteger os jornalistas de spyware focado por entidades estatais, bem como toda a sua família.

A nova legislação, que iria aplicar-se a todos os estados-membros, iria contar com novas regras que aumentariam a proteção dos jornalistas e dos seus relativos diretos deste formato de ataque. Aplicam-se ainda novas leis que impedem os governos de realizar rusgas aos conteúdos dos mesmos, com o objetivo de descobrir fontes ou outras informações usadas para formato jornalístico, sem a respetiva autorização para tal.

A nova lei também estipula que os estados membros não podem lançar qualquer género de spyware contra estes jornalistas, no sentido de recolher informações privadas que não seriam possíveis de outra forma, bem como os seus familiares diretos. Existem ainda pontos sobre proteções que também devem ser implementadas para evitar tais situações e garantir segurança dos mesmos de ataques externos, mesmo que de países fora da zona europeia.

De notar que esta nova legislação ainda necessita de ser aprovada por todos os Estados Membros antes de entrar em vigor, e existe a possibilidade que alguns dos mesmos possam colocar entraves sobre a sua criação.

Ao longo dos anos ocorreram várias situações de jornalistas que foram alvos de espionagem, para obtenção de detalhes sobre os mais variados conteúdos, e muitas vezes com motivação política. Teoricamente, esta lei iria ajudar a prevenir essas situações.

19/09/2022
Modo de Bloqueio do iOS pode ser usado para identificar utilizadores

A Apple recentemente revelou uma nova funcionalidade para o iOS, que em certas situações, permite aos utilizadores bloquearem completamente o sistema de atividades externas. Esta funcionalidade será sobretudo útil para utilizadores que acreditem estarem a ser alvo de espionagem ou que possam ter o seu dispositivo comprometido.

A funcionalidade foi originalmente criada tendo como ideia combater o spyware Pegasus. No entanto, de acordo com um ativista da privacidade, esta funcionalidade pode não realizar exatamente o que se espera.

De acordo com a empresa de segurança Cryptee, e do seu CEO, a funcionalidade de bloqueio do iOS pode acabar por se tornar uma ferramenta usada igualmente para identificar os utilizadores. Segundo o mesmo, o modo pode levar a que seja mais simples de identificar os utilizadores que possuem o modo ativo, e consequentemente, a criar um padrão na visita de sites ou uso de apps.

O modo de bloqueio do iOS limita consideravelmente algumas atividades do sistema, sendo que uma delas será a capacidade de se descarregar fontes personalizadas para os websites que sejam visitados. Isto acaba por levar a que os sites não possam usar fontes personalizadas para os seus conteúdos, mas ao mesmo tempo evita que esses conteúdos possam também ser usados para ataques ou identificação dos utilizadores.

No entanto, segundo a Cryptee, este padrão pode acabar por estar a ajudar os atacantes a identificarem utilizadores que possuem o modo de bloqueio do iOS ativo. É possível de identificar facilmente quais os navegadores que bloqueiam o download de fontes personalizadas na navegação, e como tal, isso pode ser usado para identificar os que estejam a usar este modo de proteção no iOS.

Infelizmente não existe uma forma de solucionar este problema, tendo em conta que se encontra inerente da própria funcionalidade. No entanto, a empresa sublinha que este modo de bloqueio será algo bastante especifico, e não algo que os utilizadores regulares devam usar – o mesmo foca-se sobretudo para ativistas e personalidades de interesse para serem alvo de ataques em larga escala.

29/08/2022
Revelados mais detalhes sobre como spyware Dracarys se propaga

Se costuma instalar aplicações fora da Google Play Store, talvez seja melhor ter cuidado com uma nova variante de malware que se encontra a propagar em força. Conhecida como “Dracarys”, este novo spyware tem vindo a ganhar força no mercado, e agora sabem-se mais detalhes sobre como é feita a sua propagação.

De acordo com os investigadores da empresa Cyble, este spyware propaga-se sobretudo sobre aplicações modificadas maliciosamente, nomeadamente aplicações falsas do Signal. Ao ser instalada no sistema, estas aplicações procedem também com a instalação do malware, realizando as suas atividades de espionagem.

A campanha parece focada para alvos específicos de momento, mas já foram confirmados ataques a utilizadores em vários países. O malware foi inicialmente reportado pela Meta, durante a revelação dos seus resultados financeiros respeitantes ao passado trimestre.

O malware foca-se sobretudo em obter detalhes sensíveis dos utilizadores, o que inclui as suas mensagens e conversas em diversas plataformas sociais. Também pode ativar a câmara e microfone para capturar ainda mais conteúdos.

As vítimas são na maioria das vezes atacadas ao acederem a páginas de phishing do Signal, que podem surgir quando estes tentam pesquisar pela aplicação em plataformas como o Google – e onde os resultados iniciais são apresentados por publicidade maliciosa que leva para o malware, invés do site real.

Uma vez que os utilizadores se encontram a instalar uma aplicação que, por si só, pede bastantes permissões do sistema, muitos podem não achar estranho que sejam realizados vários pedidos a informação sensível do sistema. No entanto, estes pedidos são feitos por parte do malware, de forma a obter o acesso necessário para as suas atividades.

Como sempre, é importante ter atenção aos locais de onde as aplicações são descarregadas, ainda mais se forem de fontes não oficiais, como é o caso da Google Play Store ou o site dos autores das aplicações – no caso de apps que não estejam disponíveis na plataforma da Google.

11/08/2022
Falha zero-day do Chrome usada para infetar jornalistas com spyware

A empresa de segurança Avast encontra-se a alertar para um novo spyware, que se encontra a explorar uma falha de segurança no Google Chrome para espiar jornalistas em vários países. O spyware foi apelidado de “DevilsTongue”, tendo sido criado pela empresa “Candiru”.

O spyware faz uso de uma falha zero-day no Google Chrome, que quando explorada, pode permitir aos atacantes executarem código remoto no sistema. Com isto, é apenas uma questão de tempo até que o spyware seja instalado no sistema.

Os investigadores da Avast afirmam que o spyware terá sido criado com foco para espiar jornalistas, portanto não será propriamente focado para a comunidade em geral. No entanto, existe a possibilidade do spyware se instalar em sistemas que não sejam o alvo final.

A Google corrigiu a vulnerabilidade zero-day que estaria a ser explorada no passado dia 4 de Julho, altura em que foi lançado um patch para o navegador – na altura considerado importante de ser instalado, mas sem detalhes sobre exatamente o que corrigia.

Agora sabe-se que o objetivo seria corrigir a falha explorada por este spyware.

O ataque poderia ser ainda bastante intrusivo, em parte porque poderia ser executado sem qualquer ação dos utilizadores. Estes apenas necessitavam de aceder a um site maliciosamente comprometido para explorara a falha, e poderiam ficar em risco.

A falha afetava o sistema de WebRTC do navegador, e tendo em conta que esta tecnologia também se encontra sobre outros navegadores, nomeadamente o Safari da Apple, estes também poderiam encontrar-se vulneráveis a serem explorados.

21/07/2022
Apple revela novo modo “lockdown” para proteger iPhone de espionagem

A Apple revelou uma nova funcionalidade que vai chegar em breve aos dispositivos da empresa, e deverá garantir mais proteção para potenciais alvos de spyware no iPhone, iPad e Mac.

Apelidado de “Lockdown Mode”, este novo modo do sistema operativo será um “último recurso” para prevenir que possam ser roubados dados sensíveis dos utilizadores quando estes suspeitem que os seus dispositivos estão infetados com spyware ou a ser alvo de espionagem.

O foco desta funcionalidade será para personalidades de interesse político e jornalistas, que normalmente são também os maiores alvos deste género de campanhas. Esta parece também ser a resposta da Apple a ferramentas como a Pegasus da NSO Group.

Este modo vai limitar consideravelmente o uso do sistema, bloqueando funcionalidades vitais para evitar que sejam recolhidas informações. O modo limita consideravelmente o uso que pode ser feito do sistema, mas ao mesmo tempo também bloqueia a recolha abusiva de potenciais dados para espionagem.

Por exemplo, as mensagens irão ter todas as imagens desativadas por padrão, sendo que também a pré-visualização de links irá encontrar-se desligada. O FaceTime também será desativado para chamadas recebidas e convites, a menos que o utilizador tenha aceite o contacto.

No caso do iPhone e iPad, também deixa de ser possível realizar a ligação física dos mesmos enquanto o modo estiver ativo – por exemplo, ligando o cabo a um PC.

Na navegação web, algumas funcionalidades do javascript também estarão desativadas, o que pode causar carregamentos incorretos de conteúdos pelos sites, mas evita possíveis focos de ataque.

A empresa espera que mais funcionalidades venham a ser lançadas no futuro, embora a funcionalidade venha a chegar brevemente a todas as versões mais recentes dos sistemas da empresa.

06/07/2022
Google alerta para novo spyware italiano com foco no Android e iOS

A Google deixou o alerta para um novo spyware, que se acredita ter origem em Itália, e que pode ter sido usado para espiar centenas de dispositivos Android e iOS em diferentes países.

De acordo com o alerta da empresa, este malware terá sido criado pela entidade conhecida como RCS Lab, que é conhecida no setor da espionagem e já terá trabalhado com várias forças de segurança em diversos países pela Europa.

Segundo cita a agência Reuters, a RCS Lab afirma que todos os seus produtos e serviços são fornecidos tendo em conta as leis europeias, e que não são apoiados para atividades ilegais. O spyware da empresa pode ser usado para recolher informações sensíveis dos dispositivos das vítimas, na sua maioria com foco a personalidades específicas.

Segundo o investigador de segurança Bill Marczak, da empresa Citizen Lab, o spyware não possui a mesma capacidade de espionagem que outros mais conhecidos, como é o caso do Pegasus, mas ainda assim pode ser bastante perigoso para quem seja infetado pelo mesmo.

O mais interessante será que este spyware infeta tanto dispositivos Android como iOS, tendo a capacidade de recolher mensagens e contactos, bem como notificações enviadas para os dispositivos. Acredita-se que as vítimas deste spyware estariam focadas em Itália.

25/06/2022