Pesquisadores da empresa de segurança Certo descobriram um novo trojan de acesso remoto (RAT) para dispositivos Android. De acordo com a investigação, o Oblivion contém um conjunto de recursos que combina de técnicas avançadas reunidas em uma plataforma comercial pronta para uso.O malware está sendo anunciado abertamente em um fórum de hacking na internet, com direito a vídeo de demonstração e modelo de assinatura por mensalidade. Ele promete funcionar em dispositivos com Android 8 até Android 16, o que cobre praticamente todos os celulares Android ainda ativos.Oblivion entra no modelo “Netflix” do crimeAnunciado na internet no modelo de assinatura, o desenvolvedor do Oblivion oferece acesso à ferramenta por meses, com valores que vão de US$ 300/mês a US$ 2.200 para uso o vitalício.O comprador recebe acesso a um painel web com ferramentas automatizadas, incluindo um APK Builder, sistema que gera um aplicativo malicioso personalizado sem necessidade de programação. APK é o formato de arquivo usado para instalar aplicativos no Android. No caso do Oblivion, o invasor pode escolher nome, ícone e modo de execução do app falso, facilitando a personificação de aplicativos legítimos como “Google Services”.Como o malware chega ao celularAlém do construtor de APK, a ferramenta inclui um Dropper Builder. Um dropper é um aplicativo cuja função é instalar outro malware no dispositivo da vítima.Segundo a demonstração apresentada pelo vendedor, o sistema cria uma falsa tela de atualização do Google Play, com notificação de “Update Required” e instruções para habilitar a instalação de fontes desconhecidas. Essa é uma técnica clássica de engenharia social, estratégia que manipula a vítima para que ela mesma realize ações que comprometem sua segurança. Atualizações legítimas do Android não são distribuídas dessa forma.O que o invasor pode fazerO RAT é um tipo de malware que, após ser instalado no dispositivo da vítima, permite que um invasor controle o aparelho à distância, de forma oculta. Diferente de um vírus tradicional, esse malware permite leitura de mensagens, captura de dados digitados e até interação em tempo real com a tela. Com o controle estabelecido, o Oblivion oferece um conjunto completo de ferramentas de coleta de dados, incluindo:Leitura, envio e bloqueio de SMS, incluindo interceptação de códigos de autenticação em dois fatores;Leitura e ocultação de notificações push, inclusive de apps bancários;Keylogger, sistema que registra tudo o que a vítima digita;Acesso a arquivos e aplicativos instalados;Abertura ou desinstalação remota de aplicativos;Desbloqueio automático do aparelho usando PIN, senha ou padrão capturados, mesmo após reinicialização.Persistência e anti-remoçãoOutro destaque é o foco em permanência no sistema. O Oblivion afirma bloquear tentativas de revogar suas permissões, desinstalar o aplicativo e desativar o Serviço de Acessibilidade. Segundo o anúncio, o malware pode permanecer ativo por meses usando múltiplos mecanismos de auto-recuperação, ocultação de ícone e disfarce de processos.A infraestrutura de servidor também é descrita como capaz de suportar mais de 1.000 sessões simultâneas, inclusive via redes de anonimização como Tor.Serviço de Acessibilidade como ponto críticoTudo isso é possível porque o malware afirma conceder automaticamente permissões sensíveis sem interação da vítima. Entre elas está o acesso ao Accessibility Service (Serviço de Acessibilidade), um recurso do Android criado para auxiliar pessoas com deficiência. Esse serviço permite que aplicativos leiam o conteúdo da tela e interajam com elementos da interface. Quando explorado maliciosamente, ele funciona como uma chave mestra do sistema, porque com esse acesso, o malware pode ler qualquer conteúdo exibido na tela, tocar e interagir com qualquer elemento da interface, interceptar texto digitado, além de suprimir notificações e diálogos de permissão antes que a vítima veja.O vendedor afirma que o bypass funciona inclusive em interfaces personalizadas de fabricantes como Xiaomi (MIUI / HyperOS), Samsung (One UI), OPPO (ColorOS), Honor (MagicOS) e OnePlus (OxygenOS), além de versões recentes como Android 15 e Android 16.Controle remoto invisívelO Oblivion também utiliza tecnologia de VNC (Virtual Network Computing), que permite a visualização e controle remoto da tela do dispositivo. A ferramenta inclui ainda o chamado Hidden VNC (HVNC), uma versão oculta do acesso remoto. Enquanto a vítima visualiza uma tela falsa de “System updating…”, o invasor opera o celular em uma sessão invisível.O overlay pode ser personalizado para simular atualização de sistema, verificação antivírus ou qualquer outro processo plausível.Há ainda um modo chamado Screen Reader, descrito como capaz de contornar proteções de tela preta usadas por aplicativos bancários e carteiras de criptomoedas para impedir captura de tela.Por que isso importaO Android vem restringindo progressivamente o abuso do Serviço de Acessibilidade ao longo das versões do sistema. Uma ferramenta que afirma contornar essas proteções até o Android 16 representa um desafio às defesas da plataforma.O Oblivion junta a automação de permissões, controle remoto oculto, persistência avançada e comercialização por assinatura. Essa combinação reduz a barreira técnica para ataques sofisticados, colocando ferramentas de alto impacto nas mãos de qualquer pessoa disposta a pagar.Como reduzir o riscoCom base nas informações analisadas pela Certo, algumas medidas práticas ajudam a diminuir a exposição:Evitar instalar aplicativos fora da Play Store;Desconfiar de telas de atualização inesperadas;Revisar quais aplicativos possuem acesso ao Serviço de Acessibilidade;Executar verificações de segurança no dispositivo.