IcSpy mobiele malware

IcSpy is een mobiele dreiging, specifiek gericht op Android-gebruikers. De malware is uitgerust met mogelijkheden voor het verzamelen van informatie en wordt ingezet als onderdeel van aanvalsoperaties gericht op bank- en betalingsgerelateerde informatie van gebruikers. De operators van IcSpy zijn voornamelijk gericht op gebruikers die in India wonen. Details over de dreiging zijn onlangs vrijgegeven in een rapport van infosec-onderzoekers. Hetzelfde rapport geeft ook details over aanvalsoperaties waarbij extra mobiele bankbedreigingen betrokken waren, zoals de AxBanker Banking Trojan .

De IcSpy-infectie begint met een smishing-campagne. Dit betekent dat de aanvallers lokkende sms-berichten sturen naar nietsvermoedende gebruikers. De berichten bevatten misleidende instructies die de doelwitten proberen te overtuigen om onder voorwendsels de verstrekte link te volgen. De link zelf leidt gebruikers naar een speciale phishing-pagina. De pagina doet zich voor als een officiële 'SBI Bank Customer Support'-website en probeert gevoelige informatie van zijn bezoekers te extraheren, alvorens hen uit te nodigen om te downloaden wat wordt gepresenteerd als de legitieme applicatie van de State Bank of India (SBI). In plaats daarvan downloaden gebruikers een nep-applicatie met de IcSpy-dreiging.

Bedreigende mogelijkheden

Zodra het het Android-apparaat van het slachtoffer heeft geïnfiltreerd, zal IcSpy om verschillende machtigingen vragen. De dreiging zal ook proberen toegang te krijgen tot het netwerk en de netwerkverbindingen van het apparaat. Cyberbeveiligingsexperts waarschuwen dat IcSpy zal proberen om persistentie op het geïnfecteerde apparaat vast te stellen door te vragen om bij elke start te worden uitgevoerd en om op de achtergrond te kunnen draaien. Het belangrijkste doel van de dreiging is misbruik te maken van de ontvangen toestemmingen om gevoelige gegevens van het Android-apparaat te verzamelen.

De exacte gevolgen van de IcSpy-infectie kunnen variëren, afhankelijk van de specifieke doelen van de aanvallers. De dreiging kan SMS monitoren, onderscheppen, lezen en versturen. In de praktijk stelt dit de aanvallers in staat om OTP's (One-Time Passwords) of 2FA/MFA-codes (Two-Factor Authentication/multi-factor authenticatie) te verkrijgen die naar het apparaat worden verzonden.