PhoneSpy злонамерен софтуер

Експерти по сигурността установиха активна шпионска кампания, насочена към южнокорейски потребители. Според техните констатации, нападателите целят да компрометират устройствата с Android на потребителите, като ги заразят със заплахата за злонамерен софтуер PhoneSpy - усъвършенстван RAT (троянски кон за отдалечен достъп), способен да извършва множество натрапчиви действия на пробитите устройства. Изглежда, че основната цел на хакерите е да съберат огромни количества чувствителни лични или корпоративни данни от своите жертви.

Досега експертите по киберсигурност са открили 23 различни оръжейни приложения, носещи заплахата. Трябва да се отбележи, че нито едно от тези приложения не е успяло да наруши официалния магазин на Google Play и като такива се разпространяват основно чрез платформи за приложения на трети страни. Смята се, че първоначалният вектор на компромис са фишинг връзки, разпределени между целевите потребители. Избраните приложения се представят за полезни инструменти, предлагащи съобщения, управление на снимки, инструкции за йога, стрийминг на съдържание и др.

Застрашаващи функции

PhoneSpy може да не е сред най-сложните RAT, но неговите възможности не бива да се подценяват. След като потребителите изтеглят и изпълнят APK файла на едно от фалшивите приложения, това ще задейства разполагането на PhoneSpy на техните устройства. Първото действие, предприето от заплахата, е да се покаже фишинг страница, предназначена да изглежда така, сякаш идва от легитимна услуга, като например приложението за съобщения Kakao Talklication Фалшивата страница ще се опита да убеди потребителя да му даде множество разрешения за устройство.

След това PhoneSpy ще установи своите рутини за наблюдение и ще започне да събира лична информация от устройството. RAT може да проследява местоположението на потребителя чрез GPS на устройството, да прави изображения, да записва аудио или видео чрез отвличане на микрофона и камерата на устройството, да прихваща входящи SMS съобщения, да установява пренасочване на повиквания, да събира дневниците и списъците с контакти и дори да изпраща произволни съобщения от устройството, използващо акаунта и идентификационните данни на жертвата. Огромното количество събрани данни ще бъдат предадени на сървърите за командване и управление (C2, C&C) на нападателите.

За да остане скрит на устройството, PhoneSpy използва техники за обфускиране за своя код. Той също така ще премахне иконата на фалшивото приложениеизвеждане от екрана на телефона, често срещано действие за укриване, наблюдавано при тези RAT заплахи. PhoneSpy може дори да се опита да се отърве от мобилните решения за сигурност, налични на устройството, като се опита да ги деинсталира.