Connect with us

technokrata

Népszerű alkalmazásoknak álcázza magát az új, Androidon terjedő kémprogram

androidos

Adatvédelem

Népszerű alkalmazásoknak álcázza magát az új, Androidon terjedő kémprogram

Népszerű alkalmazásoknak álcázza magát az új, Androidon terjedő kémprogram

Ismét kiderült, mennyire fontos, hogy a felhasználók minden platformon használjanak megbízható és hiteles védelmi szoftvert

Egy androidos kémprogram új verzióját kezdték vizsgálni az ESET kutatói, amely mögött az APT-C-23 nevű, 2017 óta főként a Közel-Keleten aktív, hírhedten veszélyes bűnözői csoport áll. Az ESET által észlelt Android/SpyC23.A nevű új kémprogram a korábbi verziókat fejleszti tovább, kiszélesített kémtevékenységgel, új lopakodó funkciókkal és megújított C&C kommunikációval. Egyik terjeszkedési útvonala az Android hamisított alkalmazásáruházán keresztül vezet: a felhasználók átverése érdekében olyan jól ismert üzenetküldő appoknak álcázza magát, mint a Threema vagy a Telegram.

Az ESET szakemberei akkor kezdtek el nyomozni a rosszindulatú szoftver után, amikor az egyik kutató Twitteren beszámolt egy addig ismeretlen androidos kártevőről, még 2020 áprilisában.

„Közös elemzésünk során kiderült, hogy ez a kártékony szoftver az APT-C-23 fegyvertárának része: a mobilos kártevőjük egy új, továbbfejlesztett verziója”

– magyarázta Lukáš Štefanko, az ESET kutatója, aki behatóan tanulmányozta az Android/SpyC23.A-t.

A kémprogramra az Android hamisított áruházában találtak rá, ahol első ránézésre hitelesnek tűnő alkalmazások mögött bújt meg.

„Amikor megvizsgáltuk a Google Play-nek látszó hamis boltot, kártékony és tiszta elemeket is találtunk benne. A rosszindulatú szoftver olyan alkalmazásokban rejtőzött el, mint az AndroidUpdate, a Threema és a Telegram. Néhány esetben az áldozatok egyszerre töltötték le a kártékony szoftvert és az álcázásra használt appot”

– tette hozzá Štefanko.

A letöltés után a kártevő egy sor bizalmas jellegű engedélyt kér, amiket biztonsági funkciónak álcáz:

„A támadók megtévesztéssel vették rá az áldozatokat arra, hogy különféle bizalmas engedélyeket is megadjanak a rosszindulatú szoftvernek. Például az értesítések elolvasásához kért engedélyt üzenettitkosítási funkciónak álcázták”

– részletezte Štefanko.

Az engedélyezés után a kártevő többféle kémtevékenységet végez, követve a C&C vezérlőszervertől kapott távoli utasításokat. A hangrögzítésen, a hívásnaplók, SMS-ek és névjegyek szűrésén, illetve a fájlok ellopásán túl a megújított Android/SpyC23.A az üzenetküldő alkalmazások értesítéseit is el tudja olvasni, telefonhívásokat rögzít és visszautasíthat olyan értesítéseket, amik az Androidok beépített biztonsági alkalmazásaitól érkeznek. A kártékony szoftver C&C kommunikációját is továbbfejlesztették, emiatt a távoli vezérlőszervert még nehezebben ismerik fel a kiberbiztonsági kutatók.

Köztudott, hogy az APT-C-23 csoport tagjai Windows és Android elemeket is felhasználnak a működésük során. A Two-tailed Scorpion (Kétfarkú Skorpió) név alatt futó Android elemekről először az Qihoo 360 Technology nevű kínai internetes biztonsági vállalat számolt be 2017-ben. Azóta már megannyi tanulmány jelent meg az APT-C-23 mobilon terjedő kártevőiről. Az Android/SpyC23.A – a csoport kémprogramjának legújabb verziója – megannyi új fejlesztése miatt vált még veszélyesebbé a felhasználók számára.

„Azt tanácsoljuk az Android-felhasználóknak, hogy a kémprogramokkal szembeni biztonságuk megőrzése érdekében csak és kizárólag az eredeti, hivatalos Google Play Áruházból töltsenek le alkalmazásokat, alaposan ellenőrizzék az engedélykéréseket, és használjanak megbízható, naprakész mobilos biztonsági megoldást”

– foglalta össze Štefanko.

Ennek a különösen fejlett kémprogramnak a leleplezése remélhetőleg tovább erősítheti a trójai támadások elleni tudatos védekezés fontosságát. Az ESET szakértői a Google Play védelmi csapatának kulcsszereplőiként azt javasolják a felhasználóknak, hogy minden platformon használjanak megbízható és hiteles védelmi szoftvert.

További technikai részletek a WeLiveSecurity APT-C-23 group evolves its Android spyware című angol nyelvű blogposztjában olvashatók.

További Adatvédelem

Népszerű

Technokrata a Facebookon

IoT-Magazin.hu

Kütyük

Dotkom

Műszaki-Magazin.hu

Hirdetés
Hirdetés