No final da semana passada um grande número de mensagens de texto foram enviados para números de telefone na Dinamarca de acordo com a fonte do CSIS. Esta mensagem em particular vem com o texto “Você recebeu uma mensagem multimídia a partir + [código do país] [número do remetente] Siga o link https: [.] //www.momsforyou net / mms.apk para ver a mensagem e logicamente, a intenção da mensagem é instalar o apk que está no link.

E como já fica claro este apk é um arquivo malicioso que é realmente bem parecido com o texto mas, infelizmente, a aplicação mms.apk não é legítimo e vai obter direitos de administração no dispositivo e com uma série de permissões bem problemáticas incluindo a capacidade de enviar texto.

Como uma peculiaridade incomum o aplicativo verifica onde o dispositivo está sendo usado e se ele mostra Rússia ele irá parar a instalação, coisa que não está nem um pouco clara porque.

Quando o dispositivo não está sendo usado por um Russo o malware instala o TOR  que é o famoso roteador Onion que é um meio utilizado no mundo inteiro para tornar o tráfego anônimo roteando por meio de uma série de proxys aleatórios distribuídos pela internet.

Depois de instalar o TOR a aplicação envia uma mensagem de texto com as palavras “Obrigado” e a localização do dispositivo para um número no Irã.

O Mazar BOT é um malware capaz de abrir o dispositivo para monitoramento remoto permitindo as alterações na configuração do dispositivo ( incluindo as teclas de atalho ) e enviar mensagens de texto SMS ( que vai gerar uma conta de telefone bem alta ).

O código é capaz de ler as mensagens recebidas no dispositivo existente o que significa que ele pode ser usado para ler códigos de autenticação de dois fatores utilizados em contas on line ou bancárias.

Ele contém uma função de depuração remota o que poderia ser utilizado para um número de ataques avançados em qualquer rede.

O CSIS faz uma observação que o malware tenta contornar os sistemas de segurança postos em prática para manter os clientes de contas online seguros.

O CSIS deu o nome de Mazar BOT ao app visto que ele esteve disponível a venda no final de 2015 em uma série de sites underground russos.

Peter Cruse autor do site  disse isto no malware : “Até agora, Mazar BOT foi anunciado para venda em diversos sites da Dark Web mas é a primeira vez que vimos este código sendo usado em ataques ativo … o MazarBOT é bastante avançado e desagradável do malware Android”.

As notas do blog dizem que apenas um pequeno número de aplicações de anti-vírus Android reconhecem o Mazar BOT e tendo em conta da opinião do CSIS que o malware poderia contornar a maioria dos sistemas de segurança bancários on-line e os usuários de dispositivos Android em todos os lugares devem tomar cuidado com mensagens de texto que pedem a instalação de um aplicativo estranho.

Via CSIS