TECHin

Android spyware χτυπά με το πρόσχημα δημοφιλών εφαρμογών


Μια νέα εφαρμογή Android spyware που διανέμεται από την «Transparent Tribe», μια διαβόητη ομάδα APT, στην Ινδία με το πρόσχημα πορνογραφικού περιεχομένου και επίσημων εφαρμογών ενημέρωσης για τον COVID-19, ανακάλυψαν ερευνητές της Kaspersky.

Αυτό αντικατοπτρίζει την κίνηση της ομάδας προς την επέκταση των λειτουργιών της με στόχο τη «μόλυνση» φορητών συσκευών.

Η πανδημία παραμένει ακόμα επίκαιρη και έχει μετατραπεί σε προϊόν προς εκμετάλλευση από απειλητικούς φορείς, οι οποίοι κάνουν χρήση σχετικών απειλών κοινωνικής μηχανικής. Η ομάδα Transparent Tribe, ένας απειλητικός φορέας που παρακολουθείται από την Kaspersky για πάνω από τέσσερα χρόνια, έχει επίσης υιοθετήσει αυτό το θέμα στις εκστρατείες της.

Πρόσφατα ευρήματα δείχνουν ότι η ομάδα εργάζεται ενεργά για τη βελτίωση του συνόλου των εργαλείων της και την επέκταση της προσέγγισής της ώστε να περιλαμβάνει απειλές για φορητές συσκευές. Κατά τη διάρκεια της προηγούμενης έρευνας για την Transparent Tribe, η Kaspersky κατάφερε να βρει ένα νέο εμφύτευμα Android που χρησιμοποιήθηκε από τον απειλητικό φορέα για να κατασκοπεύει φορητές συσκευές σε επιθέσεις, το οποίο διανεμήθηκε στην Ινδία ως πορνογραφική εφαρμογή και ως πλαστές εφαρμογές παρακολούθησης της πορείας του COVID-19 σε εθνικό επίπεδο. Η σύνδεση μεταξύ της ομάδας και των δύο εφαρμογών πραγματοποιήθηκε χάρη στα σχετικά domains που χρησιμοποίησε ο φορέας για τη φιλοξενία των κακόβουλων αρχείων για διαφορετικές εκστρατείες.

Η πρώτη εφαρμογή είναι μια τροποποιημένη έκδοση ενός απλού προγράμματος αναπαραγωγής βίντεο ανοιχτού κώδικα για Android, το οποίο, κατά την εγκατάσταση, εμφανίζει ένα πορνογραφικό βίντεο ως αντιπερισπασμό. Η δεύτερη εφαρμογή ονομάζεται "Aarogya Setu" - παρόμοια με την εφαρμογή παρακολούθησης του COVID-19 για φορητές συσκευές που αναπτύχθηκε από το Εθνικό Κέντρο Πληροφορικής της Κυβέρνησης της Ινδίας.

Και οι δύο εφαρμογές, μόλις ληφθούν, προσπαθούν να εγκαταστήσουν ένα άλλο αρχείο πακέτου Android - μια τροποποιημένη έκδοση του AhMyth Android Remote Access Tool (RAT) - ένα λογισμικό ανοιχτού κώδικα με δυνατότητα λήψης από το GitHub, το οποίο δημιουργήθηκε δεσμεύοντας ένα κακόβουλο ωφέλιμο φορτίο σε άλλες νόμιμες εφαρμογές.

Η τροποποιημένη έκδοση του κακόβουλου λογισμικού είναι διαφορετική σε λειτουργικότητα από την τυπική. Περιλαμβάνει νέες δυνατότητες που προστέθηκαν από τους εισβολείς για τη βελτίωση της εκδιήθησης δεδομένων, ενώ ορισμένα βασικά χαρακτηριστικά, όπως η κλοπή εικόνων από την κάμερα, λείπουν. Η εφαρμογή έχει τη δυνατότητα λήψης νέων εφαρμογών στο τηλέφωνο, πρόσβαση σε μηνύματα SMS, μικρόφωνο, αρχεία καταγραφής κλήσεων, παρακολούθηση της θέσης της συσκευής και απαρίθμηση και μεταφόρτωση αρχείων σε έναν εξωτερικό server από το τηλέφωνο.

«Τα νέα ευρήματα υπογραμμίζουν τις προσπάθειες των μελών της Transparent Tribe να προσθέσουν νέα εργαλεία που επεκτείνουν τις επιχειρήσεις της ακόμη περισσότερο και να προσεγγίσουν τα θύματά τους μέσω διαφορετικών φορέων επίθεσης, που τώρα περιλαμβάνουν φορητές συσκευές. Βλέπουμε επίσης ότι ο απειλητικός φορέας εργάζεται σταθερά για τη βελτίωση και την τροποποίηση των εργαλείων που χρησιμοποιεί. Για να παραμείνουν προστατευμένοι από τέτοιες απειλές, οι χρήστες πρέπει να είναι πιο προσεκτικοί από ποτέ στην αξιολόγηση των πηγών από τις οποίες πραγματοποιούν λήψη περιεχομένου και να βεβαιωθούν ότι οι συσκευές τους είναι ασφαλείς. Αυτό ισχύει ιδιαίτερα για όσους γνωρίζουν ότι μπορεί να γίνουν στόχος μιας επίθεσης APT», σχολιάζει ο Giampaolo Dedola, ανώτερος ερευνητής ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky.

Διαβαστε επισης