Spyware para Android leva a publicação de 62 mil logins

Uma vulnerabilidade num spyware para Android que se fazia passar por software de controlo parental – o Catwatchful – expôs as credenciais de mais de 62 mil contas de utilizadores.

A alegada aplicação de monitorização permite aos utilizadores ver o conteúdo do dispositivo da vítima em tempo real, ligar o microfone ou a câmara, aceder a fotos, vídeos e localização, por exemplo. A aplicação funciona como um spyware, corre em background para monitorização em tempo real e esconde a sua presença para que não seja desinstalado pela vítima.

O investigador de cibersegurança Eric Daigle explica que a aplicação funciona como é apresentada – ficando escondida no dispositivo da vítima – enquanto faz o upload do conteúdo para uma base de dados e permite que os utilizadores registados acedam ao conteúdo a partir de um dashboard online. A instalação do APK requer acesso físico ao dispositivo. Depois de estar a correr, o spyware começa a monitorizar o dispositivo.

Ao olhar para as operações do spyware, Daigle descobriu que estava exposto a ataques de SQL injection e que era possível recuperar a base de dados do Firebase que continham informação pessoal recolhida através do dashboard o utilizador. Para além dos dados de login e password de 62 mil contas em texto, também foi possível obter os datalhes das contas nos dispositivos e os dados para seguir o dispositivo afetado.

A Google adicionou novas proteções no Play Protect para alertar os utilizadores quando deteta o spyware nos seus dispositivos.