Hackeri APT C-23 používajú nový variant spywaru pre Android na zacielenie na používateľov na Blízkom východe

Hrozba, ktorá je známa svojimi útokmi na ciele na Blízkom východe, opäť vyvinula svoj spyware pre Android s vylepšenými schopnosťami, ktoré mu umožňujú byť nenápadnejší a vytrvalejší, pričom sa vydáva za zdanlivo neškodné aktualizácie aplikácií, aby zostali pod kontrolou.

Nové varianty „začlenili do svojich škodlivých aplikácií nové funkcie, vďaka ktorým sú odolnejšie voči akciám používateľov, ktorí sa ich môžu pokúsiť odstrániť manuálne, a spoločnostiam zaoberajúcim sa zabezpečením a webhostingom, ktoré sa pokúšajú zablokovať prístup alebo vypnúť ich príkazy. -and-control serverové domény,“ uviedol výskumník hrozieb Sophos Pankaj Kohli v správe zverejnenej v utorok.

Mobilný spyware, známy aj pod prezývkami VAMP, FrozenCell, GnatSpy a Desert Scorpion, je preferovaným nástrojom pre skupinu hrozieb APT-C-23 minimálne od roku 2017 s postupnými iteráciami s rozšírenou funkciou sledovania na vákuové súbory, obrázky, kontakty a denníky hovorov, čítanie upozornení z aplikácií na odosielanie správ, nahrávanie hovorov (vrátane WhatsApp) a rušenie upozornení zo vstavaných bezpečnostných aplikácií pre Android.

V minulosti bol malvér distribuovaný prostredníctvom falošných obchodov s aplikáciami pre Android pod zámienkou AndroidUpdate, Threema a Telegram. Najnovšia kampaň sa nelíši v tom, že má formu aplikácií, ktorých cieľom je inštalovať aktualizácie do cieľového telefónu s názvami ako Aktualizácie aplikácií, Aktualizácie systémových aplikácií a Inteligencia aktualizácií Androidu. Predpokladá sa, že útočníci doručujú spywarovú aplikáciu odoslaním odkazu na stiahnutie cieľom prostredníctvom rozbitých správ.

Po nainštalovaní aplikácia začne žiadať o invazívne povolenia na vykonávanie série škodlivých aktivít, ktoré sú navrhnuté tak, aby preskočili všetky pokusy o ručné odstránenie škodlivého softvéru. Aplikácia nielenže zmení svoju ikonu, aby sa skryla za obľúbené aplikácie, ako sú Chrome, Google, Google Play a YouTube, v prípade, že používateľ klikne na podvodnú ikonu, spustí sa legitímna verzia aplikácie, pričom na pozadí bežia úlohy dohľadu.

„Spyware je rastúcou hrozbou v čoraz prepojenejšom svete,“ povedal Kohli. “Spyware pre Android spojený s APT-C-23 existuje už najmenej štyri roky a útočníci ho naďalej vyvíjajú pomocou nových techník, ktoré sa vyhýbajú detekcii a odstráneniu.”