...
Hacki życiowe, przydatne wskazówki, zalecenia. Artykuły dla mężczyzn i kobiet. Piszemy o technologii i o wszystkim, co ciekawe.
AktualnościKomputery

Hakerzy sfałszowali aplikację Telegram w celu dystrybucji oprogramowania szpiegującego

2
Zadowolony
Ukrywanie się w fałszywych aplikacjach
Ulepszony zestaw funkcji

Złośliwe oprogramowanie może wyłączać powiadomienia z systemów bezpieczeństwa zintegrowanych z urządzeniami.

Zaczynając od mało znanego złośliwego oprogramowania, analitycy bezpieczeństwa w firmie ESET odkryli nowe oprogramowanie szpiegujące dla systemu Android dystrybuowane za pośrednictwem fałszywych komunikatorów, takich jak Threema, Telegram i WeMessage.

Szkodliwe oprogramowanie pochodzi od APT-C-23, grupy doświadczonych hakerów, którzy od lipca 2015 roku prowadzą kampanie szpiegowskie przeciwko instytucjom wojskowym i edukacyjnym.

Zaktualizowana wersja, odkryta na początku tego roku, oferuje imponującą gamę nowych funkcji, które między innymi pozwalają oprogramowaniu szpiegującemu na odrzucanie powiadomień z systemów bezpieczeństwa działających na urządzeniach Samsung, Xiaomi i Huawei, dzięki czemu mogą działać bez wykrycia.

Ukrywanie się w fałszywych aplikacjach

W kwietniu 2020 r. badacze bezpieczeństwa MalwareHunterTeam napisali na Twitterze o oprogramowaniu szpiegującym dla Androida, które ma bardzo niski wskaźnik wykrywalności w VirusTotal. Po zbadaniu próbki badacze firmy ESET odkryli, że była ona częścią pakietu złośliwego oprogramowania wykorzystywanego przez osoby atakujące APT-C-23.

Około dwa miesiące później, w czerwcu, MalwareHunterTeam odkrył nową próbkę tego samego złośliwego oprogramowania, ukrytą w pliku instalacyjnym komunikatora Telegram, dostępnym w DigitalApps, nieoficjalnym sklepie z aplikacjami na Androida.

Ponieważ ich rozwiązanie bezpieczeństwa było jednym z nielicznych, którym udało się wykryć nowe oprogramowanie szpiegowskie z APT-C-23 w domenie publicznej, firma ESET wszczęła dochodzenie i okazało się, że szkodliwe oprogramowanie było również ukryte w innych aplikacjach we wspomnianym sklepie.

Znaleźli go również na Threema, bezpiecznej platformie do przesyłania wiadomości oraz AndroidUpdate, aplikacji, która jest aktualizacją systemu dla platformy mobilnej.

Z pomocą Threemy i Telegrama ofiara uzyska pełną funkcjonalność tych aplikacji wraz ze złośliwym oprogramowaniem, ukrywając w ten sposób złośliwą naturę fałszywych aplikacji.

Hakerzy sfałszowali aplikację Telegram w celu dystrybucji oprogramowania szpiegującego

Być może próbując kontrolować rozprzestrzenianie się złośliwego oprogramowania, atakujący dodali fałszywą bramkę pobierania, wymagającą sześciocyfrowego kodu.

ESET uważa, że ​​sklep DigitalApps to tylko jedna z metod dystrybucji wykorzystywanych przez atakujących do infekowania ofiar, ponieważ znaleźli inne aplikacje, które nie były dostępne w sklepie, ale zawierały to samo oprogramowanie szpiegujące.

„W czerwcu 2020 roku systemy ESET zablokowały to oprogramowanie szpiegowskie na urządzeniach klienckich w Izraelu. Wykryte próbki złośliwego oprogramowania były zamaskowane jako aplikacja do przesyłania wiadomości WeMessage, mówi ESET

Jednak graficzny interfejs użytkownika złośliwej aplikacji różni się od oryginału i wygląda na to, że został stworzony przez osobę atakującą, co wskazuje, że nie próbowała ona podszywać się pod prawdziwy produkt.

Ulepszony zestaw funkcji

APT-C-23 są znane pod różnymi nazwami (Big Bang APT, Two-tailed Scorpion) przez inne firmy zajmujące się cyberbezpieczeństwem. Grupa wdraża szkodliwe oprogramowanie dla platform Windows (KasperAgent, Micropsia) i Android (GnatSpy, Vamp, FrozenCell), atakując cele na Bliskim Wschodzie.

W porównaniu do poprzedniego oprogramowania szpiegującego dla systemu Android, najnowsza wersja APT-C-23 rozszerza funkcjonalność poza obecne możliwości nagrywania dźwięku, kradzieży dzienników połączeń, SMS-ów, kontaktów i niektórych typów plików (PDF, DOC, DOCX, PPT, PPTX, XLS, XLSX, TXT, JPG, JPEG, PNG).

Lista funkcji obejmuje teraz możliwość wyłączenia powiadomień z aplikacji zabezpieczających zintegrowanych z urządzeniami Samsung, Xiaomi i Huawei, dzięki czemu złośliwe oprogramowanie pozostaje ukryte, nawet jeśli jego aktywność zostanie wykryta.

Ponadto oprogramowanie może teraz odczytywać powiadomienia z komunikatorów (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber), skutecznie kradnąc przychodzące wiadomości i kody dostępu do konta.

Oprogramowanie szpiegujące może również nagrywać ekran (wideo i obraz), a także rozmowy przychodzące i wychodzące za pośrednictwem WhatsApp. Może również potajemnie wykonywać połączenia, tworząc czarny ekran, który naśladuje nieaktywny telefon.

Firma ESET opublikowała raport techniczny szczegółowo opisujący nowe funkcje APT-C-23 Enhanced Spyware, który zawiera przydatne wskaźniki ułatwiające rozpoznanie zaatakowanego urządzenia.

Może Ci się spodobać Więcej od autora

Ta strona korzysta z plików cookie, aby poprawić Twoje wrażenia. Zakładamy, że nie masz nic przeciwko, ale możesz zrezygnować, jeśli chcesz. Akceptuję Więcej szczegółów