O mecanismo SonicWall RTDMI detectou recentemente um Android Adware com um ícone de aplicativo semelhante ao ícone do aplicativo Configurações . A inexistência desse arquivo malicioso no momento da detecção em portais populares de pesquisa de malware, como o VirusTotal e o Reversing Labs, indica a eficácia do mecanismo RTDMI.
Quando um usuário clica no ícone do aplicativo, ele inicia sua execução em segundo plano e se esconde da lista de aplicativos, conforme mostrado abaixo:
Em seguida, ele se conecta a uma URL mal-intencionada, envia as informações do dispositivo da vítima e salva os dados de resposta em um arquivo chamado "Config", conforme mostrado abaixo:
Os dados de resposta do servidor estão no formato JSON, que contém eventos para identificar o tipo de conectividade da Internet do dispositivo da vítima (WiFi, Mobile Data), conforme mostrado abaixo:
Dependendo do tipo de conectividade da vítima, um URL malicioso é aberto e a vítima é inundada com anúncios aleatórios, conforme mostrado abaixo:
Indicadores de compromisso:
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
Abaixo, é mostrado o relatório Capture ATP do arquivo APK malicioso detectado pelo mecanismo RTDMI:
Fonte: https://securitynews.sonicwall.com
Tradução: MaxProtection