Hakkerit huijasivat Telegram-sovellusta levittääkseen vakoiluohjelmia
Haittaohjelmat voivat estää laitteisiin integroitujen turvajärjestelmien ilmoitukset.
Alkaen vähän tunnetusta haittaohjelmasta, ESETin tietoturvatutkijat ovat löytäneet uusia Android-vakoiluohjelmia, joita levitetään väärennettyjen viestisovellusten, kuten Threeman, Telegramin ja WeMessagen, kautta .
Haittaohjelma tulee APT-C-23 :lta, ryhmältä kokeneita hakkereita, jotka ovat harjoittaneet vakoilukampanjoita sotilaita ja oppilaitoksia vastaan heinäkuusta 2015 lähtien.
Aiemmin tänä vuonna löydetty päivitetty versio esittelee vaikuttavan joukon uusia ominaisuuksia, jotka muun muassa antavat vakoiluohjelmille mahdollisuuden hylätä Samsung-, Xiaomi- ja Huawei-laitteissa toimivien turvajärjestelmien ilmoitukset ja siten toimia ilman, että niitä havaitaan.
Piilostuminen väärennetyissä sovelluksissa
Huhtikuussa 2020 MalwareHunterTeam-tietoturvatutkijat twiittasivat Android – vakoiluohjelmista, joiden havaitsemisprosentti VirusTotalissa on erittäin alhainen. Tutkittuaan otoksen ESET -tutkijat havaitsivat, että se oli osa APT-C-23-hyökkääjien käyttämää haittaohjelmapakettia.
Noin kaksi kuukautta myöhemmin, kesäkuussa, MalwareHunterTeam löysi uuden näytteen samasta haittaohjelmasta piilotettuna Telegram Messengerin asennustiedostoon, joka on saatavilla DigitalAppsista, epävirallisesta Android-sovelluskaupasta.
Koska heidän tietoturvaratkaisunsa oli yksi harvoista, jotka onnistuivat havaitsemaan uudet vakoiluohjelmat APT-C-23:sta julkisesti, ESET käynnisti tutkimuksen ja kävi ilmi, että haittaohjelma oli piilotettu myös muihin edellä mainitun myymälän sovelluksiin.
He löysivät sen myös suojatusta viestintäalustasta Threemasta ja AndroidUpdate -sovelluksesta, joka on järjestelmäpäivitys mobiilialustalle.
Threeman ja Telegramin avulla uhri saa näiden sovellusten täyden toiminnallisuuden haittaohjelmien ohella piilottaen väärennettyjen sovellusten haitallisen luonteen.
Ehkä yrittääkseen hallita haittaohjelmien leviämistä hyökkääjät lisäsivät väärennetyn latausyhdyskäytävän, joka vaati kuusinumeroisen koodin.
ESET uskoo, että DigitalApps-kauppa on vain yksi jakelumenetelmistä, joita hyökkääjät käyttivät uhrien tartuttamiseen, koska he löysivät muita sovelluksia, jotka eivät olleet saatavilla kaupasta, mutta sisälsivät saman vakoiluohjelman.
Kesäkuussa 2020 ESET-järjestelmät estivät tämän vakoiluohjelman asiakaslaitteissa Israelissa. Havaitut haittaohjelmanäytteet oli naamioitu WeMessage-viestisovellukseksi, ESET sanoo
Haitallisen sovelluksen graafinen käyttöliittymä eroaa kuitenkin alkuperäisestä ja näyttää olevan hyökkääjän luoma, mikä osoittaa, että se ei yrittänyt esiintyä todellisena tuotteena.
Paranneltu ominaisuussarja
Muut kyberturvallisuusyritykset tuntevat APT-C-23:t eri nimillä (Big Bang APT, Two-tailed Scorpion). Ryhmä ottaa käyttöön haittaohjelmia Windows- (KasperAgent, Micropsia) ja Android-alustoille (GnatSpy, Vamp, FrozenCell) ja kohdistuu Lähi-idän kohteisiin.
Verrattuna aiempiin Android-vakoiluohjelmiin, APT-C-23:n uusin versio laajentaa toiminnallisuutta yli nykyisten äänentallennus-, puhelulokien, tekstiviestien, yhteystietojen ja tiettyjen tiedostotyyppien ( PDF, DOC, DOCX, PPT, PPTX, XLS, XLSX, TXT, JPG, JPEG, PNG).
Ominaisuuksien luettelo sisältää nyt mahdollisuuden poistaa käytöstä Samsungin, Xiaomin ja Huawein laitteisiin integroitujen tietoturvasovellusten ilmoitukset, jolloin haittaohjelmat voivat pysyä piilossa, vaikka niiden toiminta havaitaan.
Lisäksi ohjelmisto pystyy nyt lukemaan ilmoituksia viestisovelluksista (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber) ja varastaa tehokkaasti saapuvat viestit ja tilitunnukset.
Vakoiluohjelmat voivat myös tallentaa näytön (videon ja kuvan) sekä saapuvat ja lähtevät puhelut WhatsAppin kautta. Se voi myös soittaa salaisesti puheluita luomalla mustan näytön, joka jäljittelee passiivista puhelinta.
ESET on julkaissut teknisen raportin, joka sisältää yksityiskohtaisesti APT-C-23 Enhanced Spywaren uudet ominaisuudet. Se sisältää hyödyllisiä ilmaisimia, jotka auttavat tunnistamaan vaarantuneen laitteen.