Trooja nakatatud RedAlert rakendus
Küberkurjategijad on loonud RedAlerti rakenduse pahatahtliku versiooni, mis on loodud jäljendama legitiimset hädaabihoiatuste platvormi. Esmapilgul tundub võltsitud rakendus ehtne, kopeerides ehtsa teenuse disaini, funktsionaalsust ja üldist kasutuskogemust. Kuid imitatsiooni sees on peidus nuhkvara, mis on mõeldud seadmesse tungimiseks ja tundliku teabe hankimiseks.
Troojalase rakenduse peamine eesmärk on koguda ohvritelt isikuandmeid ja asukohapõhiseid andmeid ilma nende teadmata. Pärast installimist töötab pahavara vaikselt pealtnäha tavalise rakenduse liidese kõrval, võimaldades pahatahtlikul tegevusel pikka aega avastamata jääda.
Sisukord
Smashing Campaigns kui peamine levitamismeetod
Pahatahtlik rakendus levib SMS-õngitsusrünnakute kaudu, mida tuntakse ka kui smishingimist. Nendes kampaaniates saadavad küberkurjategijad petlikke tekstisõnumeid, mis näivad pärinevat ametlikest allikatest, näiteks Iisraeli kodurinde väejuhatusest. Tavaliselt hoiatavad sõnumid adressaate kiireloomulise turvavärskenduse eest ja juhendavad neid alla laadima RedAlerti rakenduse uusima versiooni.
Sõnumis olev link ei vii ametlikku rakenduste poodi. Selle asemel suunab see ohvrid pahatahtliku installifaili allalaadimisele. Kui kasutajad järgivad juhiseid ja installivad faili väljaspool ametlikku Google Play poodi (seda nimetatakse külglaadimiseks), installitakse seadmesse rakenduse trooja nakatatud versioon.
Autentne välimus, mis on loodud kahtluse vältimiseks
Pärast käivitamist sarnaneb petturlik rakendus täpselt legitiimse RedAlerti platvormiga. Liides, paigutus ja üldine funktsionaalsus tunduvad identsed originaalrakendusega. See kuvab isegi päris raketirünnaku hoiatusi, mis tugevdab autentsuse illusiooni ja takistab kasutajatel kohe aru saamast, et nende seade on ohustatud.
Peamine erinevus ilmneb juba esmase käivitamise käigus. Kuigi legitiimne RedAlert rakendus küsib luba ainult teadete saatmiseks, nõuab pahatahtlik versioon täiendavaid ja ebavajalikke juurdepääsuõigusi.
Võltsitud rakendus taotleb järgmisi lube:
- Juurdepääs seadme kontaktide loendile
- Luba SMS-sõnumite lugemiseks
- Juurdepääs asukoha- ja GPS-andmetele
Need load ei ole hädaolukorra teadete edastamiseks vajalikud. Sellegipoolest kuvab pahatahtlik rakendus need vajalikena, julgustades kasutajaid juurdepääsu andma.
Taustajälgimine ja pidev andmete kogumine
Pärast installimist hakkab troojalaseks muutunud rakendus taustal tööle. Täieliku juurdepääsu ootamise asemel jälgib pahavara pidevalt, millised õigused on antud. Niipea kui vähemalt üks luba vabaneb, alustatakse kohe andmete kogumist.
Nuhkvara ammutab kahjustatud seadmest erinevat tüüpi isikuandmeid ja edastab need ründajate kontrolli all olevatele serveritele. Kogutud teave võib sisaldada järgmist:
- SMS-sõnumid ja sõnumi metaandmed
- Kontaktide nimekirjad ja nendega seotud andmed
- Reaalajas GPS-i asukohaandmed
See teave saadetakse automaatselt küberkurjategijate kontrolli all olevasse kaugjuhtimise infrastruktuuri.
Turvalisuse ja isikuohutuse riskid
Isiku- ja asukohaandmete volitamata kogumine tekitab ohvritele olulisi turvariske. Privaatsõnumite ja kontaktide nimekirjade avalikustamine võib võimaldada ründajatel läbi viia identiteedivargusi või käivitada sihipäraseid sotsiaalse manipuleerimise rünnakuid.
Asukoha jälgimine kujutab endast veelgi tõsisemat ohtu. Isiku liikumise reaalajas jälgimine võib inimesi füüsilisele ohule seada, eriti konfliktipiirkondades või sihipärase jälgimise juhtudel.
Juurdepääs SMS-sõnumitele loob ründajatele ka võimaluse autentimiskoode pealt kuulata. Nende sõnumite jäädvustamise abil võivad küberkurjategijad mööda hiilida kahefaktorilisest autentimisest ja saada volitamata juurdepääsu veebikontodele, mis võib viia kontode ülevõtmiseni ning täiendava rahalise või isikliku kahjuni.
Lõplik hinnang: nuhkvaraoht, mis on maskeeritud turvavahendiks
Troojalaseks muudetud RedAlert rakendus demonstreerib, kuidas pahatahtlikud tegutsejad kasutavad usaldusväärseid hädaabiteenuseid ära, et petta kasutajaid ja rikkuda nende seadmeid. Ründajad saavad juurdepääsu tundlikele isikuandmetele ilma kohest kahtlust tekitamata, jäljendades seaduslikku rakendust ja levitades seda veenvate petukampaaniate kaudu.
Isikud, kes kahtlustavad, et see pahatahtlik versioon on installitud, peaksid rakenduse viivitamatult eemaldama ning üle vaatama seadme õigused ja installitud tarkvara, et tagada volitamata juurdepääsu puudumine.
