Threat Database Spyware Android / Spy23C.A

Android / Spy23C.A

Android / Spy23C.A er en Android Trojan-trussel, der er designet til at infiltrere og indsamle forskellige følsomme datoer fra mobile Android-enheder. Ifølge forskerne, der analyserede det, er denne særlige trussel ikke helt unik. I stedet repræsenterer den en modificeret version med meget udvidet funktionalitet af tidligere opdaget Android-trussel, der er blevet observeret at være en del af repertoiret i en Advanced Persistent Threat (APT) -gruppe kaldet APT-C-23 (aka Two-Tailed Scorpion eller Desert Scorpion ). APT-C-23s tidligere truende kampagner var rettet mod brugere i Mellemøsten, og Android / Spy23C.A har været ansat på stort set samme måde.

Android / Spy23C.A er langt mere potent end tidligere versioner

For at udføre sine dataindsamlingsaktiviteter skal Android / Spy23C.A først overbevise den målrettede bruger om at give den flere ret invasive tilladelser. Dette kan være grunden til, at skaberne af trojaneren har besluttet at bruge messaging-applikationer som en sandsynlig forklædning. De svigagtige socialtekniske tricks begynder allerede før den aktuelle installation, da Android / Spy23C.A vil bede om at få lov til at optage lyd og video, tage billeder, læse og sende SMS samt læse og ændre kontakter på enheden. Efter installationen vil truslen udnytte den intetanende bruger til at udvide sin kontrol over enheden yderligere ved at erhverve yderligere tilladelser, men denne gang skjuler dens sande intentioner bag vildledende foregivelser for forskellige funktioner. For eksempel fortæller Trojan brugeren, at den kan udføre private videochats, men i virkeligheden vil den være i stand til at optage skærmens enhed. I et andet tilfælde, vil brugeren blive bedt om at tillade Message Encryption som vil resultere i Android / Spy23C.A erhverve evnen til at læse brugerens underretninger.

For at skjule sin tilstedeværelse og skadelige aktivitet beder Trojan fra sine ofre om at installere den legitime messaging-applikation manuelt efter eksekvering. Resultatet er, at brugeren har adgang til den rigtige applikation med alle dens funktioner, mens Android / Spy23C.A indsamler data i baggrunden uden at tiltrække meget opmærksomhed lydløst. I nogle tilfælde, når trojanen maskerer sig som WeMessage, AndroidUpdate og andre, tjener applikationerne, der er downloadet af ofrene, kun som en distraktion uden at have nogen reel funktionalitet.

Android / Spy23C.A har alle funktionerne i de tidligere versioner, der blev brugt af APT-C-23. Det kan exfiltrere opkaldslister, SMS, kontakter, manipulere filer på enheden, afinstallere ethvert program, indsamle filer med specifikke udvidelser, optage lyd og tage billeder. Det allerede imponerende udvalg af evner er nu blevet udvidet til at omfatte flere nye kraftige funktioner. Android / Spy23C.A kan foretage opkald, mens de viser en sort skærm på enheden for at skjule dens aktivitet. For yderligere at skjule sin tilstedeværelse er truslen i stand til at afvise forskellige underretninger fra sikkerhedsapplikationer afhængigt af den specifikke producent af mobilenheden samt afvise dens egne meddelelser, en ret unik funktion, der ifølge cybersikkerhedseksperter måske kan bruges til at skjule specifikke fejlmeddelelser, der kunne opstå under Trojans operationer.

Android / Spy23C.A distribueres gennem en falsk applikationsbutik

Som nævnt tidligere er hovedstrategien for Android / Spy23C.A at udgøre som legitime messaging-applikationer. For at levere dem til de målrettede brugere oprettede hackergruppen en falsk Android-applikationsbutik og skjulte de truende applikationer blandt flere legitime. De særlige applikationer, der bærer truslen, var AndroidUpdate, Threema og Telegram. For at begrænse chancerne for utilsigtet download af utilsigtede mål, sætter de kriminelle en verifikationsforanstaltning - brugerne skal indtaste en sekscifret kuponkode for at starte download af de truende applikationer.

Den falske applikationsbutik er ikke den eneste distributionsmetode, der anvendes af APT-C-23, hvilket fremgår af det faktum, at deres trojanske værktøj er blevet observeret at udgøre sig som WeMessage-applikationen, hvilket ikke er blandt de tilgængelige applikationer i den falske butik. I en ret mærkelig beslutning ser det ud til, at hackerne har oprettet deres egen brugerdefinerede grafik og brugergrænseflade, da bedragereapplikationen ikke deler ligheder med den legitime WeMessage-applikation udover navnet.

Trending

Mest sete

Indlæser...