Android / Spy23C.A
Android / Spy23C.A je Androidová trojská hrozba, která je navržena tak, aby infiltrovala a shromažďovala různá citlivá data z mobilních zařízení Android. Podle vědců, kteří jej analyzovali, není tato konkrétní hrozba zcela jedinečná. Místo toho představuje upravenou verzi s výrazně rozšířenou funkčností dříve detekované hrozby systému Android, u které bylo pozorováno, že je součástí repertoáru skupiny Advanced Persistent Threat (APT) s názvem APT-C-23 (aka Two-Tailed Scorpion nebo Desert Scorpion) ). Předchozí výhružné kampaně APT-C-23 byly zaměřeny na uživatele na Středním východě a Android / Spy23C.A byl použit podobně.
Android / Spy23C.A je mnohem účinnější než předchozí verze
Aby Android / Spy23C.A mohl provádět své činnosti shromažďování dat, musí nejprve přesvědčit cílového uživatele, aby mu udělil několik poměrně invazivních oprávnění. To může být důvod, proč se tvůrci trojského koně rozhodli použít aplikace pro zasílání zpráv jako věrohodné maskování. Klamné triky sociálního inženýrství začínají ještě před vlastní instalací, protože Android / Spy23C.A požádá o povolení nahrávat audio a video, pořizovat fotografie, číst a odesílat SMS a také číst a upravovat kontakty na zařízení. Po instalaci bude hrozba využívat nic netušícího uživatele k dalšímu rozšíření své kontroly nad zařízením získáním dalších oprávnění, ale tentokrát skryje své skutečné záměry za zavádějícími záminkami pro různé funkce. Trojský kůň například řekne uživateli, že může provádět soukromé videochaty, ale ve skutečnosti bude schopen zaznamenat obrazovku zařízení. V jiném případě bude uživatel vyzván k povolení šifrování zpráv, jehož výsledkem bude Android / Spy23C. Získání schopnosti číst oznámení uživatele.
Aby skryl svou přítomnost a škodlivou aktivitu, požaduje trojský kůň od svých obětí ruční instalaci legitimní aplikace pro zasílání zpráv po provedení. Výsledkem je, že uživatel má přístup ke skutečné aplikaci se všemi svými funkcemi, zatímco Android / Spy23C.A shromažďuje data na pozadí, aniž by tiše přitahoval pozornost. V některých případech, když se trojský kůň maskuje jako WeMessage, AndroidUpdate a další, však aplikace stažené oběťmi slouží pouze jako rozptýlení, aniž by měly skutečnou funkčnost.
Android / Spy23C.A má všechny schopnosti předchozích verzí používaných APT-C-23. Může filtrovat protokoly hovorů, SMS, kontakty, manipulovat se soubory v zařízení, odinstalovat libovolnou aplikaci, shromažďovat soubory se specifickými příponami, nahrávat zvuk a fotografovat. Již tak působivá řada schopností byla nyní rozšířena o několik nových výkonných funkcí. Android / Spy23C.A může uskutečňovat hovory při zobrazení černé obrazovky na zařízení, aby skryl svou aktivitu. Aby mohla svou přítomnost dále skrýt, může hrozba zrušit různá oznámení z bezpečnostních aplikací v závislosti na konkrétním výrobci mobilního zařízení, stejně jako zrušit vlastní oznámení, což je poměrně unikátní funkce, kterou lze podle odborníků na kybernetickou bezpečnost skrýt konkrétní chybové zprávy, které by se mohly objevit během operací trojského koně.
Android / Spy23C.A je distribuován prostřednictvím falešného obchodu s aplikacemi
Jak již bylo zmíněno dříve, hlavní strategií systému Android / Spy23C.A je vydávat se za legitimní aplikace pro zasílání zpráv. Aby je doručila cílovým uživatelům, vytvořila skupina hackerů falešný obchod s aplikacemi pro Android a skryla ohrožující aplikace mezi několik legitimních. Konkrétní aplikace nesoucí tuto hrozbu byly AndroidUpdate, Threema a Telegram. K omezení pravděpodobnosti náhodného stažení neúmyslnými cíli zločinci zavedli ověřovací opatření - uživatelé jsou povinni zadat šestimístný kupónový kód, aby zahájili stahování ohrožujících aplikací.
Falešný obchod s aplikacemi není jedinou metodou distribuce používanou APT-C-23, o čemž svědčí skutečnost, že bylo pozorováno, že jejich trojský nástroj představuje aplikaci WeMessage, která nepatří mezi aplikace dostupné ve falešném obchodě. V poměrně podivném rozhodnutí se zdá, že hackeři vytvořili vlastní grafiku a uživatelské rozhraní, protože aplikace podvodníka nesdílí kromě názvu žádnou podobnost s legitimní aplikací WeMessage.
