Новая шпионская программа для Android похищает сообщения пользователей

Следующая новость

Компания ESET — лидер в области информационной безопасности — обнаружила новые шпионские программы, нацеленные на пользователей Android. С помощью угроз злоумышленники могут похищать контакты, записанные телефонные звонки и даже сообщения из таких приложений, как WhatsApp, Facebook Messenger, Signal, Viber и Telegram. Вредоносные программы распространяются APT-группой Bahamut через фальшивый веб-сайт SecureVPN.

Исследователи ESET обнаружили не менее 8 версий шпионского программного обеспечения, что свидетельствует о высоком уровне подготовки киберпреступников. Следует отметить, что эти вредоносные программы никогда не были доступны для загрузки в Google Play.

Как работает шпионская программа?

«Функционал вредоносного программного обеспечения позволяет отслеживать данные, которые вводит пользователь. При этом вредоносная программа несанкционированно использует сервисы специальных возможностей. Атаки осуществляются целенаправленно, поскольку мы не зафиксировали образцов среди данных телеметрии ESET, — объясняет Лукаш Штефанко, исследователь компании ESET. — Кроме того, программа присылает запрос на получение ключа активации, прежде чем включить VPN и функцию для шпионажа. Ключ активации и ссылка на сайт, вероятно, отправляются пользователям целенаправленно».

Таким образом, киберпреступники пытаются предотвратить срабатывание вредоносного компонента сразу после запуска на нецелевом устройстве пользователя или во время анализа. Исследователи ESET уже фиксировали, как подобная защита использовалась при других атаках группы Bahamut.

Рис. 1. Фальшивый веб-сайт SecureVPN, который распространяет троянскую программу.

Все перехваченные данные хранятся в локальной базе данных, а затем отправляются на командный сервер (C&C). Функционал шпионского программного обеспечения позволяет обновлять программу, получая ссылку на новую версию от командного сервера.

Если шпионская программа включена, злоумышленники могут дистанционно управлять ею и похищать различные конфиденциальные данные, такие как контакты, SMS-сообщения, журналы вызовов, список установленных приложений, местоположение устройства, учетные записи, информацию об устройстве (тип подключения к Интернету, IMEI, IP, серийный номер SIM-карты), записанные телефонные вызовы и список файлов во внешней памяти.

Используя сервисы специальных возможностей, вредоносное программное обеспечение может похищать заметки из программы SafeNotes и шпионить за сообщениями и информацией о звонках из популярных мессенджеров, таких как Facebook Messenger, Viber, Signal, WhatsApp, Telegram, WeChat, приложения Conion и imo-International Calls & Chat.

Что известно о группе киберпреступников Bahamut?

Группа Bahamut, как правило, использует сообщения и поддельные программы как начальный вектор атаки на юридические и отдельные лица на Ближнем Востоке и в Южной Азии. Основным видом деятельности этой группы злоумышленников является кибершпионаж. Исследователи ESET считают, что их целью является похищение конфиденциальной информации у своих жертв.

Bahamut также называют группой наемников, которая предоставляет услуги осуществления атак широкому кругу клиентов. Название Bahamut, что является огромной рыбой в Аравийском море, киберпреступникам дала группа журналистских расследований Bellingcat.

Чтобы не стать жертвой подобных угроз, следует соблюдать базовые правила кибербезопасности, в частности загружать приложения только из официальных магазиновконтролировать предоставление им разрешений, а также позаботиться о защите мобильного устройства с помощью надежной программы, которая вовремя обнаружит и обезвредит опасное приложение.

 

Читайте также:

Почему важно обновлять устройства и приложения на них

Как хакеры могут сломать iPhone — способы и рекомендации для защиты

Что делать в случае взлома смартфона хакерами — признаки и следующие шаги