Hakerzy sfałszowali aplikację Telegram w celu dystrybucji oprogramowania szpiegującego
Złośliwe oprogramowanie może wyłączać powiadomienia z systemów bezpieczeństwa zintegrowanych z urządzeniami.
Zaczynając od mało znanego złośliwego oprogramowania, analitycy bezpieczeństwa w firmie ESET odkryli nowe oprogramowanie szpiegujące dla systemu Android dystrybuowane za pośrednictwem fałszywych komunikatorów, takich jak Threema, Telegram i WeMessage.
Szkodliwe oprogramowanie pochodzi od APT-C-23, grupy doświadczonych hakerów, którzy od lipca 2015 roku prowadzą kampanie szpiegowskie przeciwko instytucjom wojskowym i edukacyjnym.
Zaktualizowana wersja, odkryta na początku tego roku, oferuje imponującą gamę nowych funkcji, które między innymi pozwalają oprogramowaniu szpiegującemu na odrzucanie powiadomień z systemów bezpieczeństwa działających na urządzeniach Samsung, Xiaomi i Huawei, dzięki czemu mogą działać bez wykrycia.
Ukrywanie się w fałszywych aplikacjach
W kwietniu 2020 r. badacze bezpieczeństwa MalwareHunterTeam napisali na Twitterze o oprogramowaniu szpiegującym dla Androida, które ma bardzo niski wskaźnik wykrywalności w VirusTotal. Po zbadaniu próbki badacze firmy ESET odkryli, że była ona częścią pakietu złośliwego oprogramowania wykorzystywanego przez osoby atakujące APT-C-23.
Około dwa miesiące później, w czerwcu, MalwareHunterTeam odkrył nową próbkę tego samego złośliwego oprogramowania, ukrytą w pliku instalacyjnym komunikatora Telegram, dostępnym w DigitalApps, nieoficjalnym sklepie z aplikacjami na Androida.
Ponieważ ich rozwiązanie bezpieczeństwa było jednym z nielicznych, którym udało się wykryć nowe oprogramowanie szpiegowskie z APT-C-23 w domenie publicznej, firma ESET wszczęła dochodzenie i okazało się, że szkodliwe oprogramowanie było również ukryte w innych aplikacjach we wspomnianym sklepie.
Znaleźli go również na Threema, bezpiecznej platformie do przesyłania wiadomości oraz AndroidUpdate, aplikacji, która jest aktualizacją systemu dla platformy mobilnej.
Z pomocą Threemy i Telegrama ofiara uzyska pełną funkcjonalność tych aplikacji wraz ze złośliwym oprogramowaniem, ukrywając w ten sposób złośliwą naturę fałszywych aplikacji.
Być może próbując kontrolować rozprzestrzenianie się złośliwego oprogramowania, atakujący dodali fałszywą bramkę pobierania, wymagającą sześciocyfrowego kodu.
ESET uważa, że sklep DigitalApps to tylko jedna z metod dystrybucji wykorzystywanych przez atakujących do infekowania ofiar, ponieważ znaleźli inne aplikacje, które nie były dostępne w sklepie, ale zawierały to samo oprogramowanie szpiegujące.
„W czerwcu 2020 roku systemy ESET zablokowały to oprogramowanie szpiegowskie na urządzeniach klienckich w Izraelu. Wykryte próbki złośliwego oprogramowania były zamaskowane jako aplikacja do przesyłania wiadomości WeMessage, mówi ESET
Jednak graficzny interfejs użytkownika złośliwej aplikacji różni się od oryginału i wygląda na to, że został stworzony przez osobę atakującą, co wskazuje, że nie próbowała ona podszywać się pod prawdziwy produkt.
Ulepszony zestaw funkcji
APT-C-23 są znane pod różnymi nazwami (Big Bang APT, Two-tailed Scorpion) przez inne firmy zajmujące się cyberbezpieczeństwem. Grupa wdraża szkodliwe oprogramowanie dla platform Windows (KasperAgent, Micropsia) i Android (GnatSpy, Vamp, FrozenCell), atakując cele na Bliskim Wschodzie.
W porównaniu do poprzedniego oprogramowania szpiegującego dla systemu Android, najnowsza wersja APT-C-23 rozszerza funkcjonalność poza obecne możliwości nagrywania dźwięku, kradzieży dzienników połączeń, SMS-ów, kontaktów i niektórych typów plików (PDF, DOC, DOCX, PPT, PPTX, XLS, XLSX, TXT, JPG, JPEG, PNG).
Lista funkcji obejmuje teraz możliwość wyłączenia powiadomień z aplikacji zabezpieczających zintegrowanych z urządzeniami Samsung, Xiaomi i Huawei, dzięki czemu złośliwe oprogramowanie pozostaje ukryte, nawet jeśli jego aktywność zostanie wykryta.
Ponadto oprogramowanie może teraz odczytywać powiadomienia z komunikatorów (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber), skutecznie kradnąc przychodzące wiadomości i kody dostępu do konta.
Oprogramowanie szpiegujące może również nagrywać ekran (wideo i obraz), a także rozmowy przychodzące i wychodzące za pośrednictwem WhatsApp. Może również potajemnie wykonywać połączenia, tworząc czarny ekran, który naśladuje nieaktywny telefon.
Firma ESET opublikowała raport techniczny szczegółowo opisujący nowe funkcje APT-C-23 Enhanced Spyware, który zawiera przydatne wskaźniki ułatwiające rozpoznanie zaatakowanego urządzenia.