Pesquisadores identificaram uma campanha de malware Android (Arsink RAT) que se espalha por redes sociais e sites de file‑sharing, finge ser aplicativos populares e provê controle remoto e exfiltração de dados em dispositivos comprometidos.
Descoberta e escala
Analistas da Zimperium monitoraram o ecossistema da campanha e relatam aproximadamente 45.000 endereços IP únicos de vítimas em 143 países. Foram identificados 1.216 APKs maliciosos distintos e 317 endpoints Firebase Realtime Database usados como infraestrutura de comando e controle.
Vetor de distribuição
O malware se disfarça como versões “mod” ou “pro” de apps conhecidos (Google, YouTube, WhatsApp, Instagram, Facebook, TikTok) e é distribuído via Telegram, Discord e serviços de hospedagem como MediaFire. Variações utilizam Google Apps Script para upload de arquivos ao Google Drive ou Telegram bots para exfiltração, enquanto outras extraem um payload secundário localmente.
Funcionalidade e impacto nos dispositivos
Após instalação, variantes pedem permissões excessivas e escondem o ícone, rodando um serviço em primeiro plano para resistir à terminação. A ação inclui captura de SMS (incluindo OTPs), registros de chamada, contatos, localização e gravação de áudio; operadores remotos podem ainda acionar funções como ligar para números, alternar lanterna, enviar arquivos ou apagar dados de armazenamento externo.
Distribuição geográfica e prioridades
A maior concentração de incidentes ocorreu no Egito (~13.000), seguido pela Indonésia (~7.000). Iraque e Iêmen aparecem com aproximadamente 3.000 cada. Países do subcontinente indiano também são citados entre os mais afetados.
Recomendações
- Usuários: evitar instalação de APKs fora da Play Store; não executar apps de origens não verificadas; revisar permissões excessivas e remover apps suspeitos;
- Equipes de segurança móvel: monitorar comunicação com endpoints Firebase suspeitos, bloquear domínios/URLs conhecidos e adotar detecção baseada em comportamento para serviços que executam gravação de áudio ou interceptam SMS;
- Operadores de plataformas: educar usuários sobre riscos de “mods” e fornecer canais legítimos de distribuição.
O que falta saber
Os relatórios descrevem amplitude e técnicas, mas não fornecem uma lista pública de indicadores (hashes de APKs, domínios) nas peças consultadas. Também não há menção específica a incidentes no Brasil nas fontes avaliadas.