Android / Spy23C.A
Android / Spy23C.A on Androidi Trooja oht, mis on loodud mitmesuguste tundlike kuupäevade sissetungimiseks ja kogumiseks mobiilsetest Android-seadmetest. Seda analüüsinud teadlaste sõnul ei ole see konkreetne oht täielikult ainulaadne. Selle asemel esindab see varem avastatud Androidi ohu oluliselt laiendatud funktsionaalsusega modifitseeritud versiooni, mis on täheldatud APT-C-23 nimega Advanced Persistent Threat (APT) grupi (teise nimega Kahesabaline Scorpion või Desert Scorpion) repertuaari. ). Varasemad APT-C-23 ähvarduskampaaniad olid suunatud Lähis-Ida kasutajatele ja Android / Spy23C.A-d on kasutatud paljuski samal viisil.
Android / Spy23C.A on palju võimsam kui eelmised versioonid
Andmekogumistoimingute teostamiseks peab Android / Spy23C.A esmalt veenma sihitud kasutajat talle mitme üsna invasiivse õiguse andmises. See võib olla põhjus, miks Trooja loojad on otsustanud sõnumirakendusi usutavaks varjamiseks kasutada. Petlikud sotsiaaltehnoloogilised nipid algavad juba enne tegelikku installimist, kuna Android / Spy23C.A palub luba salvestada heli ja videot, pildistada, lugeda ja saata SMS-e, samuti lugeda ja muuta seadmes kontakte. Pärast installimist kasutab oht pahaaimamatut kasutajat veelgi, et laiendada oma kontrolli seadme üle, hankides täiendavaid õigusi, kuid varjates seekord oma tõelised kavatsused erinevate funktsioonide eksitamise taga. Näiteks ütleb Trooja kasutajale, et ta võib läbi viia privaatseid videovestlusi, kuid tegelikult suudab ta seadme ekraani salvestada. Teisel juhul palutakse kasutajal lubada sõnumite krüptimine, mille tulemuseks on Android / Spy23C. Kasutaja saab kasutaja märguandeid lugeda.
Oma olemasolu ja kahjuliku tegevuse varjamiseks palub Trooja oma ohvritel installida seaduslik sõnumsiderakendus pärast hukkamist käsitsi. Tulemuseks on see, et kasutajal on juurdepääs tõelisele rakendusele koos kõigi selle funktsioonidega, samal ajal kui Android / Spy23C.A kogub andmeid taustal, ilma et oleksite vaikselt palju tähelepanu äratanud. Mõnel juhul, kui troojalane maskeerub WeMessage, AndroidUpdate ja teistena, toimivad ohvrite allalaaditud rakendused ainult häirivana, ilma et neil oleks reaalset funktsionaalsust.
Android / Spy23C.A omab kõiki APT-C-23 varasemate versioonide võimalusi. See võib filtreerida kõnelogisid, SMS-e, kontakte, manipuleerida seadmes olevate failidega, desinstallida mis tahes rakendusi, koguda konkreetse laiendiga faile, salvestada heli ja pildistada. Niigi muljetavaldav võimete rida on nüüd laiendatud, et hõlmata mitmeid uusi võimsaid funktsioone. Android / Spy23C.A saab oma tegevuse varjamiseks helistada, kuvades seadmes musta ekraani. Oma olemasolu veelgi varjamiseks on ohul võimalik turvarakendustest erinevad teated sõltuvalt mobiilseadme konkreetsest tootjast tagasi lükata, samuti selle OWN-teated, mis on üsna ainulaadne omadus, mida küberturvalisuse ekspertide sõnul võib kasutada konkreetsed veateated, mis võivad ilmneda Trooja operatsioonide käigus.
Android / Spy23C.A levitatakse võltsrakenduste poodi kaudu
Nagu varem mainitud, on Android / Spy23C.A peamine strateegia poseerida seaduspäraste sõnumsiderakendustena. Nende kohaletoimetamiseks sihitud kasutajatele lõi häkkerite grupp võltsitud Androidi rakenduste poe ja peitis ähvardavad rakendused mitme seadusliku rakenduse vahele. Konkreetsed ohtu kandvad rakendused olid AndroidUpdate, Threema ja Telegram. Et piirata võimalike juhuslike allalaadimiste võimalust tahtmatute sihtmärkide kaupa, panid kurjategijad kontrollimeetme - kasutajad peavad ähvardavate rakenduste allalaadimise algatamiseks sisestama kuuekohalise kupongikoodi.
Võltsrakenduste pood ei ole ainus APT-C-23 kasutatav levitusmeetod, mida tõendab asjaolu, et nende Trooja tööriist on täheldanud rakendust WeMessage, mis ei kuulu võltspoes saadaval olevate rakenduste hulka. Üsna kummalise otsusega näib, et häkkerid on loonud oma kohandatud graafika ja kasutajaliidese, kuna võltsimisrakendus ei jaga nime kõrval seaduslikku rakendust WeMessage.
