Pahatahtlik tarkvara võib keelata seadmetesse integreeritud turvasüsteemide märguanded.
Alustades vähetuntud pahavarast, on ESET -i turbeuurijad avastanud uue Androidi nuhkvara, mida levitatakse võltssõnumirakenduste, nagu Threema, Telegram ja WeMessage kaudu.
Pahavara pärineb APT-C-23- lt, kogenud häkkerite rühmalt, kes on alates 2015. aasta juulist korraldanud luuramiskampaaniaid sõjaväe- ja haridusasutuste vastu.
Selle aasta alguses avastatud värskendatud versioon näitab muljetavaldavat valikut uusi funktsioone, mis muuhulgas võimaldavad nuhkvaral Samsungi, Xiaomi ja Huawei seadmetes töötavate turvasüsteemide märguandeid tühistada ja seega töötada ilma tuvastamiseta.
Võltsrakendustes peitmine
2020 aasta aprillis säutsusid MalwareHunterTeami turbeteadlased, et Androidi nuhkvara tuvastamise määr on VirusTotalis väga madal. Pärast proovi uurimist leidsid ESET -i teadlased, et see oli osa pahavarakomplektist, mida APT-C-23 ründajad kasutasid.
Umbes kaks kuud hiljem, juunis, avastas MalwareHunterTeam uue sama pahavara näidise, mis oli peidetud Telegram Messengeri installifailis, mis on saadaval mitteametlikus Androidi rakenduste poes DigitalApps .
Kuna nende turvalahendus oli üks väheseid, mis suutis avalikult avastada APT-C-23 uut nuhkvara, siis alustas ESET uurimist ning selgus, et pahavara oli peidetud ka teistes eelmainitud poe rakendustes.
Nad leidsid selle ka turvalisest sõnumsideplatvormist Threema ja rakendusest AndroidUpdate, mis on mobiiliplatvormi süsteemivärskendus.
Threema ja Telegrami abiga saab ohver nende rakenduste täieliku funktsionaalsuse koos pahavaraga, varjates nii võltsrakenduste pahatahtlikku olemust.
Võimalik, et püüdes kontrollida pahavara levikut, lisasid ründajad võltsitud allalaadimislüüsi, mis nõudis kuuekohalist koodi.
ESET usub, et DigitalAppsi pood on vaid üks levitamismeetoditest, mida ründajad ohvrite nakatamiseks kasutasid, kuna nad leidsid muid rakendusi, mis poes ei olnud saadaval, kuid sisaldasid sama nuhkvara.
„Juunis 2020 blokeerisid ESET-i süsteemid selle nuhkvara Iisraelis asuvates klientseadmetes. Tuvastatud pahavara näidised olid maskeeritud WeMessage’i sõnumsiderakenduseks, ütleb ESET
Pahatahtliku rakenduse GUI erineb aga originaalist ja näib olevat ründaja loodud, mis näitab, et see ei üritanud esineda tõelise tootena.
Täiustatud funktsioonide komplekt
APT-C-23 tunnevad teised küberturvalisusega tegelevad ettevõtted erinevate nimede all (Big Bang APT, Two-taled Scorpion). Rühm juurutab pahavara Windowsi (KasperAgent, Micropsia) ja Androidi (GnatSpy, Vamp, FrozenCell) platvormidele, sihites sihtmärke Lähis-Idas.
Võrreldes eelmise Androidi nuhkvaraga, laiendab APT-C-23 uusim versioon funktsioone kaugemale juba olemasolevatest helisalvestuse, kõnelogide , SMS-ide, kontaktide ja teatud failitüüpide ( PDF, DOC, DOCX, PPT, PPTX, XLS, XLSX, TXT, JPG, JPEG, PNG).
Funktsioonide loend sisaldab nüüd võimalust keelata Samsungi, Xiaomi ja Huawei seadmetega integreeritud turvarakenduste märguanded, võimaldades pahavara peidetuks jääda isegi siis, kui selle tegevus tuvastatakse.
Lisaks saab tarkvara nüüd lugeda teateid sõnumsiderakendustest (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber), varastab tõhusalt sissetulevaid sõnumeid ja konto juurdepääsukoode.
Nuhkvara saab salvestada ka ekraani (video ja pildi) ning sissetulevaid ja väljaminevaid kõnesid WhatsAppi kaudu. Samuti saab see varjatult helistada, luues passiivset telefoni jäljendava musta ekraani.
ESET on avaldanud tehnilise aruande, milles kirjeldatakse üksikasjalikult täiustatud nuhkvara APT-C-23 uusi funktsioone, mis sisaldab kasulikke indikaatoreid, mis aitavad teil ohustatud seadet ära tunda.