Нова шпигунська програма для Android маскується під Telegram

Компанія ESET — лідер у галузі інформаційної безпеки — проаналізувала нову версію шпигунської програми для Android, яка використовується групою APT-C-23. Зловмисники активні щонайменше з 2017 року, а їх атаки в основному спрямовані на Близький Схід.

Нове шпигунське ПЗ, яке продукти ESET виявляють як Android/SpyC23.A, створене на основі раніше зафіксованих версій шкідливої програми з розширеними функціями шпигунства, новими можливостями маскування та оновленим з’єднанням з командним сервером (C&C). Одним із способів поширення загрози є підроблений магазин додатків для Android, де шкідлива програма видає себе за відомі месенджери, такі як Threema та Telegram.

Дослідники ESET почали досліджувати цю загрозу після повідомлення їх колеги у Twitter у квітні 2020 року про невідомий зразок шкідливого ПЗ для Android. «Спільний аналіз показав, що ця шкідлива програма була частиною арсеналу APT-C-23 — нової, вдосконаленої версії їх шпигунського програмного забезпечення для мобільних пристроїв», — пояснює Лукаш Штефанко, дослідник ESET.

Також було виявлено, що шпигунські програми видають себе за легітимні додатки у підробленому магазині для Android. «У фальшивому магазині ми виявили як шкідливі, так і безпечні об’єкти. У більшості випадків після завантаження шкідливого ПЗ користувачам пропонується встановити легітимний додаток, який використовується як  приманка (наприклад, Threema). Під час його завантаження шкідлива програма приховує свою присутність на інфікованому пристрої. Таким чином користувачі отримують бажаний додаток та шпигунську програму, яка непомітно працює у фоновому режимі.  У деяких випадках  завантажені програми (наприклад, WeMessage, AndroidUpdate) не мали реального функціоналу і були тільки приманкою для завантаження шпигунського ПЗ», — коментує Лукаш Штефанко.

Користувачі отримують бажаний додаток і шпигунську програму.

Після завантаження на пристрій шкідлива програма надсилає запит користувачу на отримання ряду важливих дозволів, які замасковані під функції безпеки та конфіденційності. «Зловмисники використовують методи соціальної інженерії, щоб обманом змусити жертв надати шкідливому ПЗ різні права. Наприклад, дозвіл на читання сповіщень маскується під функцію шифрування повідомлень», — уточнює дослідник.

Шкідливе ПЗ може виконувати ряд шпигунських дій на основі команд з сервера C&C. Крім запису звуку, викрадення журналів викликів, SMS, контактів та файлів, оновлена загроза Android/SpyC23.A може читати сповіщення з додатків для обміну повідомленнями, робити записи екрану та дзвінків, а також відхиляти повідомлення з деяких вбудованих додатків для безпеки Android.

Як відомо, група APT-C-23 використовувала у своїй роботі компоненти Windows та Android, причому компоненти для Android вперше були описані у 2017 році. З тих пір були опубліковані численні дослідження шкідливого ПЗ APT-C-23 для мобільних пристроїв. Остання версія шпигунської програми містить кілька вдосконалень, які роблять її ще більш небезпечною для користувачів.

«Щоб захистити себе від шпигунської програми, ми радимо користувачам Android встановлювати додатки виключно з офіційного магазину Google Play, двічі перевіряти надання дозволів, а також використовувати надійне та сучасне рішення для захисту мобільних пристроїв», — робить висновок Лукаш Штефанко.

Додаткова інформація про цю загрозу доступна за посиланням.