Skadlig programvara kan inaktivera aviseringar från säkerhetssystem som är integrerade i enheter.
Börjar med en föga känd skadlig programvara, säkerhetsforskare på ESET har upptäckt nya spionprogram för Android som distribueras via falska meddelandeappar som Threema, Telegram och WeMessage.
Skadlig programvara kommer från APT-C-23, en grupp erfarna hackare som har drivit spionkampanjer mot militära och utbildningsinstitutioner sedan juli 2015.
Den uppdaterade versionen, som upptäcktes tidigare i år, visar upp en imponerande mängd nya funktioner som bland annat tillåter spionprogram att avvisa aviseringar från säkerhetssystem som körs på Samsung-, Xiaomi- och Huawei-enheter och därmed kunna köras utan att upptäckas.
Gömmer sig i falska appar
I april 2020 twittrade säkerhetsforskare från MalwareHunterTeam om att Android-spionprogram hade en mycket låg upptäcktsfrekvens på VirusTotal. Efter att ha undersökt provet fann ESET -forskare att det var en del av en skadlig programvara som används av APT-C-23-angripare.
Ungefär två månader senare, i juni, upptäckte MalwareHunterTeam ett nytt prov av samma skadlig programvara gömd i Telegram Messenger-installationsfilen tillgänglig från DigitalApps, en inofficiell Android-appbutik.
Eftersom deras säkerhetslösning var en av de få som lyckades upptäcka det nya spionprogrammet från APT-C-23 i det offentliga rummet, inledde ESET en utredning och det visade sig att skadlig programvara var gömd även i andra applikationer i den tidigare nämnda butiken.
De hittade den också på Threema, en säker meddelandeplattform, och AndroidUpdate, en app som är en systemuppdatering för den mobila plattformen.
Med hjälp av Threema och Telegram kommer offret att få full funktionalitet av dessa applikationer tillsammans med skadlig programvara, och på så sätt dölja den skadliga naturen hos falska applikationer.
Kanske i ett försök att kontrollera spridningen av skadlig programvara, lade angriparna till en falsk nedladdningsgateway, som kräver en sexsiffrig kod.
ESET anser att DigitalApps-butiken bara är en av de distributionsmetoder som angriparna använde för att infektera offer, eftersom de hittade andra applikationer som inte var tillgängliga i butiken men som innehöll samma spionprogram.
"I juni 2020 blockerade ESET-system detta spionprogram på klientenheter i Israel. Prover av skadlig programvara som upptäcktes var förklädda som WeMessage-meddelandeapp, säger ESET
Det skadliga programmets grafiska gränssnitt skiljer sig dock från originalet och verkar ha skapats av en angripare, vilket indikerar att den inte försökte utge sig för en riktig produkt.
Förbättrad funktionsuppsättning
APT-C-23 är kända under olika namn (Big Bang APT, Two-tailed Scorpion) av andra cybersäkerhetsföretag. Gruppen distribuerar skadlig programvara för Windows (KasperAgent, Micropsia) och Android (GnatSpy, Vamp, FrozenCell) plattformar, riktade mot mål i Mellanöstern.
Jämfört med tidigare Android-spionprogram utökar den senaste versionen av APT-C-23 funktionaliteten utöver de redan befintliga funktionerna för ljudinspelning, stjäla samtalsloggar, SMS, kontakter och vissa filtyper (PDF, DOC, DOCX, PPT, PPTX, XLS, XLSX, TXT, JPG, JPEG, PNG).
Listan över funktioner inkluderar nu möjligheten att inaktivera aviseringar från säkerhetsappar integrerade med enheter från Samsung, Xiaomi och Huawei, vilket gör att skadlig programvara kan förbli dold även om dess aktivitet upptäcks.
Dessutom kan programvaran nu läsa aviseringar från meddelandeappar (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber), och effektivt stjäla inkommande meddelanden och kontokoder.
Spionprogram kan också spela in skärmen (video och bild) samt inkommande och utgående samtal via WhatsApp. Den kan också ringa samtal i hemlighet genom att skapa en svart skärm som efterliknar en inaktiv telefon.
ESET har publicerat en teknisk rapport som beskriver de nya funktionerna i APT-C-23 Enhanced Spyware, som innehåller användbara indikatorer som hjälper dig att känna igen en komprometterad enhet.