Normalmente utilizado para encontrar celulares roubados ou perdidos, o recurso de localização do Google está sendo explorado para apagar dados de dispositivos Android remotamente em uma campanha maliciosa recém-descoberta. A empresa de cibersegurança Genians divulgou detalhes da operação na segunda-feira (10).
Vinculado aos grupos de hackers APT37 e Kimuky, o ataque complexo se aproveita de funções legítimas de gerenciamento disponíveis na ferramenta anteriormente chamada Encontre Meu Dispositivo, agora renomeada para Localizador do Google. O objetivo é excluir rastros de invasão, silenciar alertas de segurança e atrasar a recuperação dos dados.
Como funciona o ataque?
Detectada em setembro, essa campanha direcionada principalmente a alvos na Coreia do Sul começa no computador da vítima. Os cibercriminosos disparam mensagens por meio do app KakaoTalk se passando por autoridades locais, induzindo o destinatário a baixar um anexo malicioso.
- Ao ser executado, o arquivo instala um trojan de acesso remoto na máquina, permitindo controlar o PC para o roubo de credenciais de contas do Google armazenadas em navegadores;
- Com esses dados, os invasores acessam o Localizador do Google em busca de celulares sincronizados ao sistema, dando início à próxima etapa do golpe;
- No painel do Google Find Hub, os cibercriminosos associados ao governo da Coreia do Norte podem executar o comando de limpeza remota do smartphone para apagar todos os dados armazenados;
- De acordo com o relatório, os autores rastreiam a localização da vítima antes do comando, optando pela remoção quando ela está na rua, o que dificulta uma resposta rápida.
Em um dos casos identificados pela empresa, os invasores executaram a reinicialização remota três vezes, deixando o aparelho inutilizável por um período maior. E a partir do acionamento do reset de fábrica, o usuário não consegue verificar os alertas de segurança do Google informando sobre logins suspeitos.
Dessa forma, os invasores continuam aproveitando a sessão aberta no app KaKaoTalk do PC, distribuindo a mensagem de phishing para os contatos daquele perfil, alcançando um número ainda maior de vítimas.
Google diz que não há falhas no Localizador
Em comunicado enviado ao BleepingComputer, a gigante de Mountain View disse que esse ataque não explora falhas no sistema de localização de dispositivos nem no Android. A empresa destacou que a campanha se baseia no malware infectando os PCs para o roubo da senha da conta e o consequente uso das funções.
Para evitar a invasão, é recomendável ativar a verificação em duas etapas na conta do Google ou as chaves de acesso, reforçando a proteção do perfil. No caso de pessoas de maior visibilidade ou ataques direcionados, a big tech sugere se inscrever no Programa de Proteção Avançada.
Outra medida importante é evitar clicar em links e anexos compartilhados por remetentes desconhecidos. Se for o caso, verifique a identidade de quem enviou e a legitimidade da mensagem antes de qualquer interação.
Curtiu o conteúdo? Siga acompanhando o TecMundo para mais notícias sobre cibersegurança.