Novo RAT Oblivion para Android oferece controle total por US$ 300 e burla proteções
Uma nova ameaça para dispositivos móveis, batizada de Oblivion, está sendo vendida abertamente em fóruns de hacking por apenas US$ 300 mensais. Trata-se de um Trojan de Acesso Remoto (RAT) para Android que combina técnicas avançadas de evasão com um controle quase total do dispositivo infectado. Analistas da empresa de segurança Certo alertam que a ferramenta foi testada em ambientes reais por mais de quatro meses sem ser detectada, sinalizando um nível preocupante de sofisticação e preparo.
Capacidades e modelo de negócio
O Oblivion é comercializado sob um modelo de assinatura, com preços que variam de US$ 300 por um mês a US$ 2.200 por acesso vitalício. Os compradores não têm acesso ao código-fonte, mantendo o controle nas mãos do desenvolvedor. O malware visa dispositivos Android das versões 8 à 16, cobrindo a vasta maioria dos aparelhos em uso ativo. Seu builder point-and-click permite que atacantes com pouca habilidade técnica criem aplicativos falsos personalizados para distribuição.
Uma vez instalado, o RAT concede capacidades extensivas ao invasor:
- Interceptação de SMS, incluindo códigos de autenticação de dois fatores (2FA).
- Leitura de notificações push de aplicativos bancários.
- Registro de todas as teclas digitadas (keylogging).
- Gerenciamento remoto de arquivos.
- Inicialização e desinstalação remota de aplicativos.
- Desbloqueio automático do telefone usando um PIN capturado.
Controle remoto oculto e bypass de permissões
A característica mais técnica e perigosa do Oblivion é seu recurso de Hidden VNC (HVNC). Diferente de uma sessão VNC padrão, o HVNC opera completamente fora da visão da vítima. Enquanto a tela do dispositivo exibe uma animação falsa de "Atualização do sistema...", o atacante tem controle interativo total em um ambiente oculto rodando em segundo plano. Esta sobreposição é personalizável para se parecer com uma atualização do HyperOS, uma verificação de antivírus ou qualquer tela de carregamento comum.
Outro avanço significativo é a capacidade do malware de contornar automaticamente as permissões do Serviço de Acessibilidade do Android, sem qualquer ação do usuário. Esta bypass funciona em várias interfaces personalizadas populares, incluindo Samsung One UI, Xiaomi MIUI/HyperOS, OPPO ColorOS, Honor MagicOS e OnePlus OxygenOS. Considerando os anos de esforço do Google para restringir o abuso do Serviço de Acessibilidade, uma ferramenta que consegue burlá-lo até na versão 16 do Android representa uma evolução considerável no cenário de ameaças móveis.
Além disso, o Oblivion inclui um modo "Screen Reader" projetado para contornar as proteções de tela preta usadas por aplicativos bancários e de carteiras cripto para impedir capturas de tela, minando diretamente uma das principais defesas das aplicações financeiras.
Vetor de infecção e recomendações de defesa
A infecção começa com um "Dropper Builder" que gera um prompt falso de atualização do Google Play. As vítimas são induzidas por engenharia social a habilitar a instalação de fontes desconhecidas através de uma notificação de "Atualização Necessária".
Para mitigar o risco, os usuários devem:
- Instalar aplicativos exclusivamente pela Google Play Store oficial.
- Evitar completamente o sideload de arquivos APK de fontes externas.
- Tratar com extrema suspeita qualquer pop-up inesperado solicitando instalação de fora da Play Store.
- Verificar regularmente as configurações de Acessibilidade e remover permissões de aplicativos desconhecidos.
- Desligar o dispositivo e executar uma verificação de segurança imediatamente se ele travar em uma tela de atualização após instalar um aplicativo externo.
A ascensão de ferramentas como o Oblivion, baratas, fáceis de usar e altamente evasivas, democratiza o acesso a capacidades de espionagem móvel de alto nível, representando uma ameaça crescente tanto para indivíduos quanto para organizações que adotam o BYOD (Bring Your Own Device).