Mobilne złośliwe oprogramowanie IcSpy

IcSpy to mobilne zagrożenie skierowane w szczególności do użytkowników Androida. Szkodliwe oprogramowanie jest wyposażone w funkcje gromadzenia informacji i jest wdrażane w ramach operacji ataków wymierzonych w informacje bankowe i informacje związane z płatnościami użytkowników. Operatorzy IcSpy koncentrują się przede wszystkim na użytkownikach mieszkających w Indiach. Szczegóły dotyczące zagrożenia zostały ujawnione w raporcie sporządzonym niedawno przez badaczy infosec. Ten sam raport szczegółowo opisuje również operacje ataków obejmujące dodatkowe bankowe zagrożenia mobilne, takie jak trojan bankowy AxBanker .

Infekcja IcSpy zaczyna się od porażającej kampanii. Oznacza to, że osoby atakujące wysyłają kuszące wiadomości SMS do niczego niepodejrzewających użytkowników. Wiadomości zawierają zwodnicze instrukcje, które pod pretekstem próbują przekonać cele do skorzystania z podanego łącza. Samo łącze prowadzi użytkowników do dedykowanej strony phishingowej. Podszywając się pod oficjalną stronę internetową "SBI Bank Customer Support", strona próbuje wydobyć poufne informacje od odwiedzających, zanim zaprosi ich do pobrania tego, co jest przedstawiane jako legalna aplikacja State Bank of India (SBI). Zamiast tego użytkownicy pobiorą fałszywą aplikację niosącą zagrożenie IcSpy.

Groźne możliwości

Po infiltracji urządzenia z systemem Android ofiary, IcSpy zażąda różnych uprawnień. Zagrożenie będzie również próbowało uzyskać dostęp do sieci urządzenia i połączeń sieciowych. Eksperci ds. cyberbezpieczeństwa ostrzegają, że IcSpy będzie próbował ustanowić trwałość na zainfekowanym urządzeniu, prosząc o wykonanie go przy każdym uruchomieniu, a także działając w tle. Głównym celem zagrożenia jest nadużycie otrzymanych uprawnień w celu rozpoczęcia zbierania wrażliwych danych z urządzenia z systemem Android.

Dokładne konsekwencje infekcji IcSpy mogą się różnić w zależności od konkretnych celów atakujących. Zagrożenie może monitorować, przechwytywać, czytać i wysyłać wiadomości SMS. W praktyce umożliwia to atakującym uzyskanie dowolnych kodów OTP (One-Time Passwords) lub 2FA/MFA (Two-Factor Authentication/multi-factor Authentication) wysyłanych do urządzenia.