Нова шпигунська програма для Android викрадає повідомлення

0
183 views
Фальшивий вебсайт SecureVPN, який поширює троянську програму.
Фальшивий вебсайт SecureVPN, який поширює троянську програму.

Компанія ESET виявила нові шпигунські програми, націлені на користувачів Android. За допомогою загроз зловмисники можуть викрадати контакти, записані телефонні дзвінки та навіть повідомлення з таких програм, як WhatsApp, Facebook Messenger, Signal, Viber та Telegram. Шкідливі програми розповсюджуються APT-групою Bahamut через фальшивий вебсайт SecureVPN.

Дослідники ESET виявили щонайменше 8 версій шпигунського програмного забезпечення, що свідчить про високий рівень підготовки кіберзлочинців. Варто зазначити, що ці шкідливі програми ніколи не були доступні для завантаження в Google Play.

Як працює шпигунська програма?

«Функціонал шкідливого програмного забезпечення дозволяє відстежувати дані, які вводить користувач. При цьому шкідлива програма несанкціоновано використовує сервіси спеціальних можливостей. Атаки здійснюються цілеспрямовано, оскільки ми не зафіксували зразків серед даних телеметрії ESET, — пояснює Лукаш Штефанко, дослідник компанії ESET. — Крім того, програма надсилає запит на отримання ключа активації, перш ніж увімкнути VPN та функцію для шпигунства. Ключ активації та посилання на сайт, ймовірно, надсилаються користувачам цілеспрямовано».

Таким чином кіберзлочинці намагаються запобігти спрацюванню шкідливого компонента відразу після запуску на нецільовому пристрої користувача або під час аналізу. Дослідники ESET уже фіксували, як подібний захист використовувався під час інших атак групи Bahamut.

Фальшивий вебсайт SecureVPN, який поширює троянську програму.
Фальшивий вебсайт SecureVPN, який поширює троянську програму.

Усі перехоплені дані зберігаються у локальній базі даних, а потім надсилаються на командний сервер (C&C). Функціонал шпигунського програмного забезпечення дозволяє оновлювати програму, отримуючи посилання на нову версію від командного сервера.

Якщо шпигунську програму увімкнено, зловмисники можуть дистанційно управляти нею та викрадати різні конфіденційні дані, такі як контакти, SMS-повідомлення, журнали викликів, список встановлених програм, місцезнаходження пристрою, облікові записи, інформацію про пристрій (тип підключення до Інтернету, IMEI, IP, серійний номер SIM-карти), записані телефонні дзвінки та список файлів у зовнішній пам’яті.

Використовуючи сервіси спеціальних можливостей, шкідливе програмне забезпечення може викрадати нотатки з програми SafeNotes та шпигувати за повідомленнями та інформацією про дзвінки з популярних месенджерів, таких як Facebook Messenger, Viber, Signal, WhatsApp, Telegram, WeChat, додатки Conion та imo-International Calls & Chat.

Що відомо про групу кіберзлочинців Bahamut?

Група Bahamut зазвичай використовує повідомлення та підроблені програми як початковий вектор атаки на юридичних та окремих осіб на Близькому Сході та у Південній Азії. Основним видом діяльності цієї групи зловмисників є кібершпигунство. Дослідники ESET вважають, що їх метою є викрадення конфіденційної інформації у своїх жертв.

Bahamut також називають групою найманців, яка надає послуги здійснення атак широкому колу клієнтів. Назву Bahamut, що є величезною рибою у Аравійському морі, кіберзлочинцям дала група журналістських розслідувань Bellingcat.

Щоб не стати жертвою подібних загроз, варто дотримуватись базових правил кібербезпеки, зокрема завантажувати додатки тільки з офіційних магазинів, контролювати надання їм дозволів, а також подбати про захист мобільного пристрою за допомогою надійної програми, яка вчасно виявить та знешкодить небезпечний додаток.