A Check Point Research (CPR) descreve os recursos e analisa tecnicamente uma operação cibernética do Hamas (maior organização islâmica nos territórios palestinos da atualidade), apelidada de "Rebound" (Rebote) derrubada pelos órgãos IDF (Força de Defesa de Israel) e a ISA (Agência de Segurança de Israel AKA "Shin Bet") em operação conduzida conjuntamente.
Os pesquisadores da Check Point descrevem também a associação desse ataque ao grupo APT-C-23, sobre o qual eles já relataram em 2018 ao se referirem a ataques anteriores desse grupo no Oriente Médio.
Trata-se de um malware MRAT (Trojan de acesso remoto móvel) disfarçado como um conjunto de aplicativos de namoro, "GrixyApp", "ZatuApp" e "Catch & See", todos com sites dedicados e a descrição do aplicativo de namoro. A vítima recebe um link para baixar o aplicativo malicioso de um operador do Hamas, disfarçando-se de uma mulher. Depois que o aplicativo é instalado e executado, o mesmo mostra uma mensagem de erro informando que o dispositivo não é suportado e o aplicativo se desinstalará. Porém, isso não acontece, pois o aplicativo oculta apenas o ícone:
Enquanto permanece oculto, o aplicativo se comunica com os servidores C&C por meio do protocolo mqtt, com os mesmos servidores dos quais foi baixado. A principal capacidade desse malware é coletar dados sobre a vítima, como número de telefone, local, mensagens SMS e muito mais, além de ter a capacidade de estender seu código por comando. Quando acionado, esse comando recebe uma URL para um arquivo .dex, que o aplicativo baixa e executa.
As táticas, técnicas e procedimentos (TTPs) usados nessa nova onda de ataques são semelhantes àqueles adotados no passado pelas campanhas anteriores do grupo APT-C-23. Primeiramente, este grupo é conhecido por desenvolver backdoors para dispositivos Android disfarçados de aplicativos de bate-papo.
Em segundo lugar, sites especialmente criados e dedicados são elaborados pelo grupo para promover esses backdoors, explicar suas funcionalidades e oferecer um link direto para baixá-los. Esses domínios e outros que são usados para comunicações C&C por amostras conhecidas do APT-C-23, geralmente, são registrados usando o NameCheap, e também foi o caso dos sites recém-descobertos.
Por fim, amostras maliciosas afiliadas ao APT-C-23 fizeram referência a nomes de artistas, personagens de TV e celebridades, tanto em seu código fonte quanto na comunicação da C&C. Embora os novos backdoors não possuíssem essas referências, os pesquisadores da Check Point viram referências a celebridades e figuras conhecidas como Jim Morrison, Eliza Doolittle, Gretchen Bleiler e Dolores Huerta no site do backdoor, catchansee [.] com.
"O sucesso dessas campanhas cibernéticas contra dispositivos móveis Android é resultado de dois fatores principais: a crescente dependência de todos nós por nossos smartphones e aplicativos neles instalados; e a falta de conhecimento da maioria da população mundial sobre como é fácil usar os smartphones como vetores de ataque. Atualmente, todos os malwares conhecidos possuem versões para dispositivos móveis. Nossa pesquisa mostra que apenas 3% das organizações em todo o mundo usam proteção adequada para seus dispositivos móveis, enquanto, em 2019, 27% dos ciberataques foram direcionados a estes dispositivos", comenta Jonathan Shimonovich chefe de pesquisa cibernética móvel da Check Point.
O incidente do último domingo (16 de fevereiro de 2020) demonstra como o Hamas se aproveitou desses fatos. Eles tentaram alcançar os soldados por meio de seus smartphones e aproveitaram o fato de não terem cuidado o suficiente com os seus dispositivos.
Ainda segundo Shimonovich, nos últimos anos, foi observado que o Hamas usa o mesmo tipo de ciberameaça em três ocasiões diferentes, sendo a mais recente nos eventos da Copa do Mundo de 2018. O processo foi o mesmo – usar perfis falsos nas mídias sociais para gerar interações sociais e, em seguida, atrair as vítimas para baixar aplicativos de links enviados por contas falsas de redes sociais. Esses aplicativos sempre são programas que não existem nas lojas oficiais de aplicativos e carregam malwares que permitem os ataques.
Essa campanha de ataque contra os smartphones de soldados da Força de Defesa de Israel serve como um alerta de que o esforço dos desenvolvedores de sistemas ainda não é suficiente para criar um ecossistema Android seguro. Isto requer atenção e ação de desenvolvedores de sistemas, fabricantes de dispositivos, desenvolvedores de aplicativos e de usuários, para que as correções de vulnerabilidades sejam atualizadas, distribuídas, adotadas e instaladas a tempo.
Esse ataque ressalta também o porquê da necessidade de as organizações e os usuários terem uma solução avançada de prevenção de ameaças móveis instalada nos dispositivos para se protegerem contra a possibilidade de instalação de aplicativos maliciosos sem seu conhecimento, mesmo em lojas de aplicativos confiáveis.