Хакери підробили додаток Telegram, щоб поширити шпигунське програмне забезпечення

Останнє оновлення Гру 1, 2022

Зміст

Шкідливе програмне забезпечення може вимкнути повідомлення від систем безпеки, інтегрованих у пристрої.

Почавши з маловідомого зразка шкідливого програмного забезпечення, дослідники в галузі безпеки з компанії ESET виявили нове шпигунське програмне забезпечення для Android, яке розповсюджується через вироби додатків для обміну повідомленнями, таких як Threema, Telegram і WeMessage.

Шкідливе ПЗ походить від APT-C-23, групи досвідчених хакерів, які ведуть шпигунські кампанії проти військових та освітніх установ з липня 2015 року.

Оновлена версія, виявлена раніше цього року, демонструє вражаючий набір нових функцій, які, зокрема, дозволяють шпигунському програмному забезпеченню відхиляти повідомлення від систем безпеки, що працюють на пристроях Samsung, Xiaomi та Huawei, і таким чином мати можливість працювати без виявлення.

Приховування у підроблених додатках

У квітні 2020 року дослідники з безпеки MalwareHunterTeam написали в Твіттері про шпигунське ПЗ для Android, у якого дуже низький рівень виявлення на VirusTotal. Вивчивши зразок, дослідники ESET виявили, що він був частиною набору шкідливих програм, які використовували зловмисники з APT-C-23.

Приблизно через два місяці, у червні, команда MalwareHunterTeam виявила новий зразок того ж шкідливого ПЗ, захований у настановному файлі месенджера Telegram, доступному в DigitalApps, неофіційному магазині додатків для Android.

Оскільки їх рішення безпеки було одним з небагатьох, якому вдалося виявити у відкритому доступі нове шпигунське програмне забезпечення від APT-C-23, ESET почала розслідування і виявилося, що зловмисне програмне забезпечення також було приховано в інших додатках, у вищезгаданому магазині.

Вони також знайшли його в Threema, платформі безпечного обміну повідомленнями, і в AndroidUpdate, додатку, що представляє собою оновлення системи для мобільної платформи.

За допомогою Threema та Telegram жертва отримає повну функціональність цих додатків разом із шкідливим ПЗ, таким чином приховується шкідливий характер підроблених додатків.

Можливо, у спробі контролювати поширення шкідливого програмного забезпечення зловмисники додали фальшивий шлюз завантаження, зажадавши шестизначний код.

ESET вважає, що магазин DigitalApps – це лише один із методів розповсюдження, який зловмисники використовували для зараження жертв, оскільки вони знаходили й інші програми, які не були доступні в магазині, але містили таке ж шпигунське програмне забезпечення.

«У червні 2020 року системи ESET заблокували це шпигунське програмне забезпечення на клієнтських пристроях в Ізраїлі. Виявлені зразки шкідливого програмного забезпечення були замасковані під програму для обміну повідомленнями WeMessage» – заявляють у ESET

Однак графічний інтерфейс шкідливого застосування відрізняється від оригіналу і, мабуть, був створений зловмисником, що вказує на те, що воно не намагалося видавати себе за справжній продукт.

Поліпшений набір функцій

APT-C-23 відомі під різними іменами (Big Bang APT, Two-tailed Scorpion) в інших компаній, що займаються кібербезпекою. Група розгортає шкідливе програмне забезпечення для платформ Windows (KasperAgent, Micropsia) і Android (GnatSpy, Vamp, FrozenCell), атакуючи цілі на Близькому Сході.

В порівнянні з попередніми шпигунськими програмами для Android, остання версія APT-C-23 розширює функціональність, крім вже наявних можливостей запису звуку, крадіжки журналів викликів, SMS, контактів та певних типів файлів (PDF, DOC, DOCX, PPT, PPTX, XLS, XLSX, TXT, JPG, JPEG, PNG).

Список функцій тепер включає можливість відключення повідомлень від програм безпеки, інтегрованих з пристроями від Samsung, Xiaomi та Huawei, що дозволяє шкідливому програмному забезпеченню залишатися прихованим, навіть якщо його активність виявлена.

Крім того, тепер програмне забезпечення може читати повідомлення з програм для обміну повідомленнями (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber), ефективно крадучи вхідні повідомлення та коди для доступу до облікового запису.

Шпигунське програмне забезпечення також може записувати екран (відео та зображення), а також вхідні та вихідні дзвінки через WhatsApp. Воно також може приховувати дзвінки, створюючи чорний екран, що імітує неактивний телефон.

ESET опублікувала технічний звіт з детальним описом нових можливостей покращеного шпигунського програмного забезпечення APT-C-23, який містить корисні індикатори, що дозволяють розпізнати компрометацію пристрою.