Android

Pesquisadores de cibersegurança revelaram um novo trojan Android chamado PhantomCard, que explora a comunicação por campo de proximidade (NFC) para realizar ataques de relay, facilitando transações fraudulentas direcionadas a clientes bancários no Brasil. O malware é distribuído através de páginas falsas do Google Play que imitam aplicativos de proteção de cartões, como ‘Proteção Cartões’. Após a instalação, o aplicativo solicita que a vítima coloque seu cartão de crédito/débito na parte de trás do celular para ‘verificação’, mas na verdade, os dados do cartão são enviados para um servidor controlado por criminosos. O PhantomCard permite que os atacantes utilizem o cartão da vítima como se estivesse em suas mãos, tornando as fraudes difíceis de detectar. A empresa ThreatFabric identificou que o desenvolvedor por trás do malware, conhecido como Go1ano, é um revendedor recorrente de ameaças Android no Brasil. Além disso, o artigo destaca que o NFU Pay, um serviço de malware como serviço de origem chinesa, está por trás do PhantomCard, o que representa um risco crescente para instituições financeiras locais, que podem enfrentar uma variedade maior de ameaças globais. A situação é preocupante, especialmente em um cenário onde o uso de pagamentos por NFC está crescendo rapidamente.

O Google alcançou um marco significativo em segurança móvel ao garantir a certificação SESIP Nível 5 para seu hipervisor protegido KVM (pKVM). Esta é a primeira vez que um sistema de segurança de software projetado para a implementação em larga escala de eletrônicos de consumo atinge esse rigoroso padrão de garantia. A certificação, realizada pelo laboratório de cibersegurança Dekra, posiciona o Android para suportar aplicações de alta criticidade com garantias de segurança sem precedentes.

Pesquisadores de segurança da Zimperium, através do zLabs, descobriram uma vulnerabilidade crítica em frameworks populares de rooting para Android, que pode permitir que aplicativos maliciosos comprometam completamente dispositivos roteados. A falha, identificada inicialmente em meados de 2023, explora fraquezas de autenticação em ferramentas como o KernelSU, permitindo que atacantes obtenham acesso root não autorizado e controlem totalmente os dispositivos afetados.

A vulnerabilidade afeta especificamente a versão 0.5.7 do KernelSU, um framework moderno que utiliza patching de kernel para obter privilégios elevados. O problema reside no mecanismo de autenticação do KernelSU, que verifica a assinatura digital do arquivo APK do aplicativo chamador. Os pesquisadores descobriram que esse processo de verificação tinha uma falha crítica: ele escaneava a tabela de descritores de arquivos do processo e verificava apenas o primeiro arquivo que correspondia ao padrão esperado. Isso permite que atacantes manipulem a ordem dos descritores de arquivos para enganar o kernel, fazendo-o ler o APK do gerenciador legítimo em vez do aplicativo malicioso.

Pesquisadores de segurança da Zimperium, através do zLabs, descobriram uma vulnerabilidade crítica em frameworks populares de rooting para Android, que pode permitir que aplicativos maliciosos assumam o controle total de dispositivos roteados. A falha, identificada em meados de 2023, explora fraquezas de autenticação em ferramentas como o KernelSU, permitindo acesso irrestrito ao sistema sem o conhecimento do usuário. A vulnerabilidade afeta a versão 0.5.7 do KernelSU, que utiliza técnicas de patching do kernel para fornecer acesso root. O problema central reside em um mecanismo de autenticação falho, que deveria impedir aplicativos não autorizados de acessar interfaces privilegiadas do kernel. Os atacantes podem manipular a ordem dos descritores de arquivos para enganar o kernel, fazendo com que ele leia a assinatura APK do gerenciador legítimo em vez do aplicativo malicioso. A pesquisa indica que vulnerabilidades de autenticação são comuns em frameworks de rooting, com riscos particularmente elevados durante os ciclos de inicialização do dispositivo. A Zimperium oferece soluções de defesa contra ameaças móveis que podem detectar tais compromissos, monitorando o status de rooting dos dispositivos e a presença de malware.