Android / Spy23C.A
Android / Spy23C.A to zagrożenie trojanem dla Androida, którego celem jest infiltracja i zbieranie różnych poufnych danych z urządzeń mobilnych z systemem Android. Według badaczy, którzy go przeanalizowali, to szczególne zagrożenie nie jest do końca wyjątkowe. Zamiast tego reprezentuje zmodyfikowaną wersję o znacznie rozszerzonej funkcjonalności wcześniej wykrytego zagrożenia dla Androida, które zostało zaobserwowane jako część repertuaru grupy Advanced Persistent Threat (APT) o nazwie APT-C-23 (aka Two-Tailed Scorpion lub Desert Scorpion ). Poprzednie groźne kampanie APT-C-23 były skierowane do użytkowników na Bliskim Wschodzie, a Android / Spy23C.A był używany w bardzo podobny sposób.
Android / Spy23C.A jest znacznie silniejszy niż poprzednie wersje
Aby przeprowadzić czynności związane z gromadzeniem danych, Android / Spy23C.A musi najpierw przekonać docelowego użytkownika do przyznania mu kilku dość inwazyjnych uprawnień. Może to być powód, dla którego twórcy trojana zdecydowali się używać komunikatorów jako prawdopodobnego przebrania. Podstępne sztuczki socjotechniczne zaczynają się jeszcze przed samą instalacją, ponieważ Android / Spy23C.A poprosi o zezwolenie na nagrywanie audio i wideo, robienie zdjęć, czytanie i wysyłanie SMS-ów, a także czytanie i modyfikowanie kontaktów na urządzeniu. Po instalacji zagrożenie wykorzysta niczego niepodejrzewającego użytkownika do dalszego rozszerzenia kontroli nad urządzeniem poprzez uzyskanie dodatkowych uprawnień, ale tym razem ukrywając swoje prawdziwe intencje za wprowadzającymi w błąd pozorami różnych funkcji. Na przykład trojan mówi użytkownikowi, że może przeprowadzać prywatne rozmowy wideo, ale w rzeczywistości będzie mógł nagrywać ekran urządzenia. W innym przypadku użytkownik zostanie poproszony o zezwolenie na szyfrowanie wiadomości, co spowoduje, że Android / Spy23C.A uzyska możliwość czytania powiadomień użytkownika.
Aby ukryć swoją obecność i szkodliwą aktywność, trojan żąda od swoich ofiar ręcznej instalacji legalnej aplikacji do przesyłania wiadomości po uruchomieniu. W rezultacie użytkownik ma dostęp do prawdziwej aplikacji ze wszystkimi jej funkcjami, podczas gdy Android / Spy23C.A zbiera dane w tle bez cichego przyciągania uwagi. Jednak w niektórych przypadkach, gdy trojan podszywa się pod WeMessage, AndroidUpdate i inne, aplikacje pobierane przez ofiary służą jedynie jako odwrócenie uwagi, nie mając żadnej rzeczywistej funkcjonalności.
Android / Spy23C.A posiada wszystkie możliwości poprzednich wersji używanych przez APT-C-23. Może eksfiltrować dzienniki połączeń, SMS-y, kontakty, manipulować plikami na urządzeniu, odinstalować dowolną aplikację, zbierać pliki z określonymi rozszerzeniami, nagrywać dźwięk i robić zdjęcia. Już imponujący wachlarz umiejętności został rozszerzony o kilka nowych potężnych funkcji. Android / Spy23C.A może wykonywać połączenia, wyświetlając czarny ekran urządzenia, aby ukryć swoją aktywność. Aby dodatkowo ukryć swoją obecność, zagrożenie jest w stanie odrzucać różne powiadomienia z aplikacji zabezpieczających w zależności od konkretnego producenta urządzenia mobilnego, a także odrzucać powiadomienia WŁASNE, co jest dość unikalną funkcją, która według ekspertów ds.cyberbezpieczeństwa może służyć do ukrycia określone komunikaty o błędach, które mogą pojawić się podczas działania trojana.
Android / Spy23C.A jest rozpowszechniany za pośrednictwem fałszywego sklepu z aplikacjami
Jak wspomniano wcześniej, główną strategią Androida / Spy23C.A jest udawanie legalnych aplikacji do przesyłania wiadomości. Aby dostarczyć je docelowym użytkownikom, grupa hakerów stworzyła fałszywy sklep z aplikacjami na Androida i ukryła groźne aplikacje wśród kilku legalnych. Konkretnymi aplikacjami niosącymi zagrożenie były AndroidUpdate, Threema i Telegram. Aby ograniczyć szanse przypadkowego pobrania przez niezamierzone cele, przestępcy zastosowali środek weryfikacyjny - użytkownicy są zobowiązani do wprowadzenia sześciocyfrowego kodu kuponu w celu zainicjowania pobierania niebezpiecznych aplikacji.
Sklep fałszywych aplikacji nie jest jedyną metodą dystrybucji stosowaną przez APT-C-23, o czym świadczy fakt, że jego narzędzie trojańskie podszywało się pod aplikację WeMessage, której nie ma wśród aplikacji dostępnych w fałszywym sklepie. W dość dziwnej decyzji wydaje się, że hakerzy stworzyli własną niestandardową grafikę i interfejs użytkownika, ponieważ aplikacja oszusta nie ma żadnych podobieństw do legalnej aplikacji WeMessage poza nazwą.
