Gustavo Gusmão
Duas análises divulgadas nesta terça-feira trouxeram à tona mais detalhes sobre uma ferramenta espiã que é vendida a governos pelo mundo. Chamada de Remote Control System (RCS) e desenvolvida pela empresa italiana HackingTeam, ela funciona como um spyware, e dá às autoridades controle quase total de um dispositivo infectado.
Os relatórios foram publicados por pesquisadores do Kaspersky Lab, na Rússia, e do Citizen Lab, em Toronto, no Canadá, e não os primeiros relativos à companhia que desenvolve a solução. No entanto, ambos são bem mais detalhados, e mostram especialmente como funcionam os módulos que atacam aparelhos com Android, iOS, BlackBerry OS e Windows Mobile – todos parte da solução principal, que também atinge computadores.
As armas usadas contra os sistemas do Google e da Apple são mais elaboradas do que as outras duas, entretanto. Nas palavras da Wired, “elas permitem, por exemplo, a coleta de e-mails, mensagens de texto, histórico de chamadas e agenda de contatos, e podem ser usadas para registrar as teclas digitadas e obter o histórico de buscas”.
As funcionalidades se estendem à captura de screenshots, uso da câmera do smartphone e ativação de microfone (para ouvir e gravar chamadas e conversas) e GPS do aparelho (de forma a localizar o usuário vigiado). Para aumentar a discrição, o módulo que afeta o Android também deixa os espiões ativarem o Wi-Fi do dispositivo remotamente, para enviar os dados coletados sem aumentar a conta de telefone. O do iOS, por sua vez, tenta ao máximo evitar drenar a bateria, ativando o microfone só em algumas situações.
Manual de instruções – O Citizen Lab teve acesso ainda a um suposto manual de uso das ferramentas, entregue pelo HackingTeam aos eventuais clientes. Pelo que mostraram os pesquisadores, o livreto explica como é fácil infectar um dispositivo qualquer com um dos módulos: é possível “injetar” o spyware por redes Wi-Fi, pelo tráfego da rede (no caso, em parceria com um provedor), por um aplicativo falso – que pode ser instalado em Androids com opções de desenvolvedor liberadas e iPhones com jailbreak, por exemplo – ou localmente, usando um pendrive ou um cartão SD.
Responsável pela solução de vigilância, o HackingTeam afirma que só vende a ferramenta para governos que estão fora de uma “lista negra”. No entanto, o Citizen Lab encontrou um aplicativo falso que tem como alvo cidadãos árabes e está ligado a servidores da empresa.
Ele funciona assim: disfarçado como um popular app de notícias, o programa é distribuído como uma APK por fora da Google Play e solicita permissões para acessar e gravar praticamente tudo no smartphone ou tablet. O software ainda se aproveita de uma brecha presente em Androids equipados com processadores Exynos, em dispositivos com versões mais velhas do sistema – o que limita o efeito do malware, mas não o impede de agir.
Pelo mundo – Os pesquisadores da Kaspersky encontraram mais de 320 servidores de comando do sistema espalhados por 43 países, estando boa parte deles (64) nos EUA. Outros 49 ficam no Cazaquistão, 35 no Equador e 32 no Reino Unido. O Brasil não fica de fora, com seis dessas “centrais” detectadas por aqui.
Há até a possibilidade de os endereços serem usados por uma ou duas agências, apenas – mas a empresa de segurança não acredita que governos instalariam servidores longe do próprio território, por medo de perder o controle das máquinas e das informações coletadas dos eventuais alvos.
Se quiser saber mais sobre as ferramentas da HackingTeam, há um comercial feito pela própria empresa que explica do que a solução RCS, conhecida como Galileo, é capaz. O vídeo está aqui, e as propostas chegma a ser assustadoras. E caso esteja disposto, o relatório completo da Kasperksy pode ser lido em inglês aqui (primeira parte aqui), enquanto o do Citizen Lab, tmabém em inglês, está aqui (mais informações aqui).
Mais de 100 mil sites que executam o WordPress foram comprometidos por um malware misterioso. As informações são do Ars Technica. 
