Android / Spy23C.A
Android / Spy23C.A is een Android Trojan-bedreiging die is ontworpen om verschillende gevoelige gegevens van mobiele Android-apparaten te infiltreren en te verzamelen. Volgens de onderzoekers die het hebben geanalyseerd, is deze specifieke dreiging niet geheel uniek. In plaats daarvan vertegenwoordigt het een aangepaste versie met enorm uitgebreide functionaliteit van eerder gedetecteerde Android-bedreigingen waarvan is waargenomen dat deze deel uitmaakt van het repertoire van een Advanced Persistent Threat (APT) -groep genaamd APT-C-23 (ook bekend als Two-Tailed Scorpion of Desert Scorpion ). De eerdere dreigingscampagnes van APT-C-23 waren gericht op gebruikers in het Midden-Oosten en Android / Spy23C.A is op vrijwel dezelfde manier gebruikt.
Android / Spy23C.A is veel krachtiger dan eerdere versies
Om zijn gegevensverzamelingsactiviteiten uit te voeren, moet Android / Spy23C.A eerst de beoogde gebruiker overtuigen om hem verschillende nogal invasieve toestemmingen te verlenen. Dit kan de reden zijn dat de makers van de Trojan hebben besloten om berichtentoepassingen te gebruiken als een plausibele vermomming. De bedrieglijke social-engineeringtrucs beginnen al vóór de daadwerkelijke installatie, aangezien Android / Spy23C.A zal vragen om toestemming om audio en video op te nemen, foto's te maken, sms-berichten te lezen en te verzenden, en om contacten op het apparaat te lezen en te wijzigen. Na installatie zal de dreiging profiteren van de nietsvermoedende gebruiker om zijn controle over het apparaat verder uit te breiden door extra machtigingen te verkrijgen, maar deze keer verbergt hij zijn ware bedoelingen achter misleidende voorwendselen voor verschillende functies. De Trojan vertelt de gebruiker bijvoorbeeld dat het privévideochats kan uitvoeren, maar in werkelijkheid zal het in staat zijn om het scherm van het apparaat op te nemen. In een ander geval wordt de gebruiker gevraagd om Message Encryption wat zal resulteren in Android / Spy23C.A het verwerven van de mogelijkheid om meldingen van de gebruiker lezen mogelijk te maken.
Om zijn aanwezigheid en schadelijke activiteit te verbergen, vraagt de Trojan van zijn slachtoffers om de legitieme berichtentoepassing handmatig te installeren nadat deze is uitgevoerd. Het resultaat is dat de gebruiker toegang heeft tot de echte applicatie met al zijn functies, terwijl Android / Spy23C.A gegevens op de achtergrond verzamelt zonder in stilte veel aandacht te trekken. In sommige gevallen, wanneer de Trojan zich voordoet als de WeMessage, AndroidUpdate en andere, dienen de applicaties die door de slachtoffers zijn gedownload alleen als afleiding zonder enige echte functionaliteit.
Android / Spy23C.A beschikt over alle mogelijkheden van de vorige versies die door APT-C-23 werden gebruikt. Het kan oproeplogboeken, sms-berichten en contacten exfiltreren, bestanden op het apparaat manipuleren, elke toepassing verwijderen, bestanden met specifieke extensies verzamelen, audio opnemen en foto's maken. De toch al indrukwekkende reeks mogelijkheden is nu uitgebreid met verschillende nieuwe krachtige functies. Android / Spy23C.A kan bellen terwijl een zwart scherm op het apparaat wordt weergegeven om zijn activiteit te verbergen. Om zijn aanwezigheid verder te verbergen, kan de dreiging verschillende meldingen van beveiligingstoepassingen negeren, afhankelijk van de specifieke fabrikant van het mobiele apparaat, en ook de EIGEN meldingen negeren, een vrij unieke functie die volgens de cybersecurity-experts kan worden gebruikt om te verbergen specifieke foutmeldingen die kunnen verschijnen tijdens de operaties van de Trojan.
Android / Spy23C.A wordt gedistribueerd via een nep-toepassingswinkel
Zoals eerder vermeld, is de belangrijkste strategie van Android / Spy23C.A om zich voor te doen als legitieme berichtentoepassingen. Om ze aan de beoogde gebruikers te bezorgen, creëerde de hackergroep een nep-Android-toepassingswinkel en verborg de bedreigende toepassingen tussen verschillende legitieme. De specifieke toepassingen met de dreiging waren AndroidUpdate, Threema en Telegram. Om de kans op onbedoelde downloads door onbedoelde doelen te beperken, hebben de criminelen een verificatiemaatregel ingevoerd: gebruikers moeten een zescijferige couponcode invoeren om het downloaden van de bedreigende applicaties te starten.
De nep-applicatiewinkel is niet de enige distributiemethode die wordt gebruikt door APT-C-23, wat blijkt uit het feit dat hun Trojan-tool zich voordoet als de WeMessage-applicatie, die niet tot de applicaties behoort die beschikbaar zijn in de nepwinkel. In een nogal vreemde beslissing lijkt het erop dat de hackers hun eigen aangepaste grafische afbeeldingen en gebruikersinterface hebben gemaakt, aangezien de bedrieger-applicatie behalve de naam geen overeenkomsten vertoont met de legitieme WeMessage-applicatie.
