PhoneSpy-malware

Beveiligingsexperts hebben vastgesteld dat er een actieve spionagecampagne is gericht op Zuid-Koreaanse gebruikers. Volgens hun bevindingen proberen de aanvallers de Android-apparaten van de gebruikers te compromitteren door ze te infecteren met de PhoneSpy-malwaredreiging - een geavanceerde RAT (Remote Access Trojan) die in staat is talloze intrusieve acties uit te voeren op de gehackte apparaten. Het lijkt erop dat het belangrijkste doel van hackers is om enorme hoeveelheden gevoelige persoonlijke of bedrijfsgegevens van hun slachtoffers te verzamelen.

Tot nu toe hebben cybersecurity-experts 23 verschillende bewapende applicaties ontdekt die de dreiging dragen. Opgemerkt moet worden dat geen van deze applicaties erin is geslaagd de officiële Google Play Store te doorbreken en als zodanig voornamelijk wordt verspreid via app-platforms van derden. Aangenomen wordt dat de eerste besmettingsvector phishing-links zijn die onder de doelgebruikers worden verspreid. De gekozen applicaties doen zich voor als handige tools die messaging, fotobeheer, yoga-instructies, contentstreaming en meer bieden.

Bedreigende functies

PhoneSpy behoort misschien niet tot de meest geavanceerde RAT's die er zijn, maar de mogelijkheden ervan mogen niet worden onderschat. Zodra gebruikers het APK-bestand van een van de nep-applicaties hebben gedownload en uitgevoerd, wordt PhoneSpy op hun apparaten ingezet. De eerste actie die door de dreiging wordt ondernomen, is het weergeven van een phishing-pagina die is ontworpen om te lijken alsof deze afkomstig is van een legitieme service, zoals de Kakao Talk-berichtenapplication De nep-pagina zal proberen de gebruiker te overtuigen om meerdere apparaatmachtigingen te geven.

PhoneSpy zal dan zijn bewakingsroutines instellen en beginnen met het verzamelen van privé-informatie van het apparaat. De RAT kan de locatie van de gebruiker volgen via de GPS van het apparaat, foto's maken, audio of video opnemen door de microfoon en camera van het apparaat te kapen, inkomende sms-berichten onderscheppen, doorschakelen tot stand brengen, de oproeplogboeken en contactlijsten verzamelen en zelfs willekeurige berichten verzenden van het apparaat met behulp van het account en de inloggegevens van het slachtoffer. De enorme hoeveelheid verzamelde data wordt doorgestuurd naar de Command-and-Control (C2, C&C) servers van de aanvallers.

Om verborgen te blijven op het apparaat, gebruikt PhoneSpy verduisteringstechnieken voor zijn code. Het zal ook het pictogram van de nep-app verwijderenlicatie van het scherm van de telefoon, een veel voorkomende verhullingsactie die wordt waargenomen bij deze RAT-bedreigingen. PhoneSpy kan zelfs proberen de mobiele beveiligingsoplossingen op het apparaat te verwijderen door ze te verwijderen.