Espionar vítimas – Um aplicativo criado para alertar a população israelense sobre ataques de mísseis foi explorado por criminosos virtuais e transformado em uma ferramenta de vigilância silenciosa. A descoberta foi feita por pesquisadores da Acronis, que apontam possíveis indícios de envolvimento de um grupo com apoio estatal.
A ofensiva ocorreu em março de 2026, quando versões adulteradas do aplicativo Red Alert começaram a circular por meio de mensagens de texto que imitavam comunicações oficiais. Sob o pretexto de corrigir uma suposta falha, os usuários eram levados a instalar uma atualização falsa, que, na prática, escondia um sistema de coleta de dados.
LEIA: Meta e TikTok flexibilizaram moderação em prol de audiência, dizem denúncias
Mesmo comprometido, o aplicativo continuava funcionando normalmente, exibindo alertas reais. Esse detalhe foi crucial para evitar desconfiança e prolongar o tempo de exposição das vítimas.
O ponto de entrada do ataque foi uma técnica conhecida como smishing, em que criminosos utilizam SMS para induzir ações. As mensagens simulavam envio pelo Comando da Frente Interna de Israel e continham links encurtados, dificultando a identificação do destino real. Para reforçar a credibilidade, os atacantes recorreram ao spoofing, mascarando o remetente com nomes aparentemente confiáveis.
Ao acessar o link, o usuário era direcionado a baixar um arquivo no formato .apk, padrão de instalação de aplicativos no sistema Android. Diferentemente de apps obtidos pela Google Play Store, esse arquivo era hospedado em um site externo, prática conhecida como sideloading.
O programa instalado ia além de um malware convencional. Ele atuava em duas frentes: primeiro, instalava o aplicativo verdadeiro; depois, mantinha em segundo plano um sistema de espionagem ativo. Assim, o usuário interagia com a versão legítima, enquanto seus dados eram coletados sem qualquer sinal visível.
Para sustentar a fraude, o software manipulava mecanismos internos do sistema, simulando certificações de autenticidade e até mesmo uma instalação oficial via Play Store.
Com as permissões concedidas, o aplicativo passava a acessar informações sensíveis, como mensagens, contatos e localização. Esse monitoramento incluía o uso de geofencing, recurso que limita determinadas ações a áreas geográficas específicas, o que sugere um direcionamento claro do ataque.
Além disso, o sistema levantava dados sobre contas registradas no aparelho e identificava todos os aplicativos instalados, permitindo aos invasores mapear o perfil digital da vítima e selecionar alvos de maior interesse, como serviços bancários.
As informações eram enviadas para um servidor remoto de comando e controle (C2), responsável por centralizar os dados e coordenar a operação. O endereço identificado pelos pesquisadores segue um padrão comum em campanhas desse tipo, com domínios criados especificamente para uso temporário.
A análise técnica também revelou o uso de ofuscação avançada no código, dificultando a identificação do funcionamento interno do malware. Elementos como nomes de funções e endereços de servidores foram propositalmente embaralhados ou criptografados.
Segundo a Acronis, há indícios de que a campanha tenha relação com o grupo Arid Viper, também chamado de APT-C-23. Conhecido por operações de espionagem digital na região, o grupo é classificado como uma Ameaça Persistente Avançada. Ainda assim, os especialistas ressaltam que não é possível confirmar a autoria com total certeza.
Como medida de segurança, a recomendação é que usuários que tenham instalado o aplicativo fora da loja oficial realizem a restauração completa do dispositivo e alterem todas as senhas utilizadas.
O Red Alert legítimo segue disponível exclusivamente na Play Store e não solicita acesso a mensagens ou contatos para funcionar, um detalhe que pode ajudar a identificar versões fraudulentas.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/gajus)
