Android / Spy23C.A

Android / Spy23C.A je Android trojanska prijetnja koja je dizajnirana za infiltraciju i prikupljanje različitih osjetljivih datuma s mobilnih Android uređaja. Prema istraživačima koji su je analizirali, ova posebna prijetnja nije u potpunosti jedinstvena. Umjesto toga, predstavlja izmijenjenu verziju s znatno proširenom funkcionalnošću prethodno otkrivene Android prijetnje za koju je primijećeno da je dio repertoara grupe Napredne uporne prijetnje (APT) nazvane APT-C-23 (aka Dvostrani škorpion ili Desert Scorpion ). Prethodne prijeteće kampanje APT-C-23 bile su usmjerene prema korisnicima na Bliskom Istoku, a Android / Spy23C.A zaposlen je na približno isti način.

Android / Spy23C.A je daleko moćniji od prethodnih verzija

Da bi izvršio svoje aktivnosti prikupljanja podataka, Android / Spy23C.A prvo treba uvjeriti ciljanog korisnika da mu dodijeli nekoliko prilično invazivnih dozvola. To je možda razlog što su tvorci trojanca odlučili koristiti se aplikacijama za razmjenu poruka kao vjerojatna krinka. Lažni trikovi socijalnog inženjeringa počinju čak i prije stvarne instalacije, jer će Android / Spy23C.A tražiti da im se dopusti snimanje zvuka i videa, fotografiranje, čitanje i slanje SMS-a, kao i čitanje i izmjena kontakata na uređaju. Nakon instalacije, prijetnja će nesuđenog korisnika iskoristiti za daljnje proširivanje nadzora nad uređajem stjecanjem dodatnih dozvola, ali ovaj put skrivajući svoje stvarne namjere iza zavaravajućih pretvaranja za razne značajke. Na primjer, trojanski kaže korisniku da može provoditi privatne video razgovore, ali u stvarnosti moći će snimati zaslon uređaja. U drugom slučaju, od korisnika će se zatražiti da dozvoli šifriranje poruka što će rezultirati Androidom / Spy23C.A stjecanjem mogućnosti čitanja korisnikovih obavijesti.

Da bi sakrio svoju prisutnost i štetne aktivnosti, Trojanac traži od svojih žrtava da nakon izvršenja ručno instaliraju legitimni program za razmjenu poruka. Rezultat je taj da korisnik ima pristup stvarnoj aplikaciji sa svim njezinim funkcijama, dok Android / Spy23C.A prikuplja podatke u pozadini, a da ne privuče puno pažnje u tišini. Međutim, u nekim slučajevima, kada se Trojanac predstavlja kao WeMessage, AndroidUpdate i drugi, aplikacije koje su žrtve preuzele služe samo kao distrakcija bez stvarne funkcionalnosti.

Android / Spy23C.A posjeduje sve mogućnosti prethodnih verzija koje je koristio APT-C-23. Može izlučiti zapisnike poziva, SMS-ove, kontakte, manipulirati datotekama na uređaju, deinstalirati bilo koji program, prikupljati datoteke s određenim nastavcima, snimati zvuk i slikati. Već impresivan niz sposobnosti sada je proširen tako da uključuje nekoliko novih moćnih funkcija. Android / Spy23C.A može upućivati pozive dok prikazuje crni zaslon na uređaju kako bi sakrio svoje aktivnosti. Da bi dodatno sakrila svoju prisutnost, prijetnja može odbaciti razne obavijesti iz sigurnosnih aplikacija, ovisno o konkretnom proizvođaču mobilnog uređaja, kao i odbaciti vlastite obavijesti, prilično jedinstvenu značajku koja bi se prema stručnjacima za kibernetsku sigurnost mogla koristiti za skrivanje posebne poruke o pogreškama koje bi se mogle pojaviti tijekom rada trojanskog programa.

Android / Spy23C.A distribuira se u trgovini lažnih aplikacija

Kao što je ranije spomenuto, glavna strategija Androida / Spy23C.A je predstavljati se kao legitimni program za razmjenu poruka. Kako bi ih isporučio ciljanim korisnicima, hakerska skupina stvorila je lažnu trgovinu Android aplikacija i sakrila prijeteće programe među nekoliko legitimnih. Posebne aplikacije koje nose prijetnju bile su AndroidUpdate, Threema i Telegram. Kako bi ograničili šanse za slučajna preuzimanja od strane nenamjernih ciljeva, kriminalci su izvršili mjeru provjere - korisnici su dužni unijeti šestoznamenkasti kôd kupona kako bi pokrenuli preuzimanje prijetnji aplikacija.

Trgovina lažnih aplikacija nije jedina metoda distribucije koju APT-C-23 koristi, što dokazuje činjenica da je primijećeno da njihov trojanski alat predstavlja aplikaciju WeMessage, što nije među aplikacijama dostupnim u lažnoj trgovini. U prilično čudnoj odluci, čini se da su hakeri stvorili vlastitu prilagođenu grafiku i korisničko sučelje jer imposter aplikacija osim imena ne dijeli sličnosti s legitimnom aplikacijom WeMessage.