Segundo os laboratórios do Kaspersky, é um spyware ativo desde maio de 2016.
Denominado BusyGasper, este malware inclui escutas dos sensores do dispositivo, consegue extrair dados das aplicações de mensagens, inclui capacidades de keylogging (ver as teclas que o user digita), e suporta 100 comandos. Além disso, segundo a Kaspersky, este malware consegue fazer download de payloads e faz uploads para um servidor de C&C, pertencente a um serviço de webhosting gratuito Russo, Ucoz. Oferece suporte para o protocolo IRC e é capaz de logar-se no email do atacante, parsar emails para uma pasta especial e salvar os payloads para um dispositivo a partir de anexos de email.
. O malware está a ser instalado manualmente através de um acesso físico a um dispositivo comprometido.
Até agora, o que foi recolhido pelos atacantes inclui dados pessoais, mensagens de aplicações de IM, mensagens do sistema bancário; o atacante não parece, contudo, estar interessado em roubar dinheiro.
Este malware parece ser desenvolvido meramente por um atacante, dada a relativamente pouca complexidade quanto comparado com outras ameaças do género, como por exemplo a falta de encriptação, o uso de um servidor FTP público e o baixo nível de opsec.
Em termos de módulos contidos no dispositivo, há um módulo inicial que pode ser controlado a partir do protocolo IRC e que permite que os operadores lancem componentes adicionais. Tal módulo tem privilégios de root, aparentemente. Este módulo é capaz de iniciar/parar o IRC, alterar as configurações, sair, usar funcionalidades root, reportar se o ecrã está ligado, esconder o ícone de implante, executar uma shell, enviar comandos a um segundo módulo, fazer download e copiar uma componente para o path do sistema , além de escrever certas mensagens para o log.
Já o segundo módulo escreve um log do historial de execução de comandos para para um ficheiro designado por "lock", que pode ser exfiltrado para o servidor C&C. Os logs de mensagens podem também ser mandados por SMS para o número do atacante.
A síntaxe também é original no malware, que representa a combinação de caracteres, enquanto que o símbolo # é um delimitador.
Para se esconder, o malware cria um elemento textView invisível ao user, e depois adiciona o onTouchListener, para processar o que o user escreve. O listener apenas processa coordenadas e depois faz o match com aquelas hardcoded.
O menu invisível que concede o controlo das funcionalidades de implante parece ter sido criado para controlo manual. É ativado caso o operador chame o "9909" a partir do dispositivo infetado.
De acordo com uma inteira lista de comandos suportados pelo malware, é possível constatar que o mesmo consegue captar fotos, gravar áudio e vídeo, executar comandos de shell específicos, monitorizar e extrair mensagens, atualizar-se a si mesmo e desencadear diversos comandos de backdoor.
Para mais informações sobre as funcionalidades do malware, por favor consultar: https://securelist.com/busygasper-the-unfriendly-spy/87627/
