PhoneSpy Malware

Eksperci ds. bezpieczeństwa zidentyfikowali aktywną kampanię szpiegowską wymierzoną w użytkowników z Korei Południowej. Zgodnie z ich ustaleniami, osoby atakujące mają na celu złamanie zabezpieczeń urządzeń z Androidem użytkowników poprzez zainfekowanie ich szkodliwym oprogramowaniem PhoneSpy – zaawansowanym RAT (trojanem zdalnego dostępu) zdolnym do wykonywania wielu inwazyjnych działań na złamanych urządzeniach. Wydaje się, że głównym celem hakerów jest zebranie ogromnych ilości poufnych danych osobowych lub firmowych od swoich ofiar.

Do tej pory eksperci ds. cyberbezpieczeństwa odkryli 23 różne uzbrojone aplikacje niosące zagrożenie. Należy zauważyć, że żadna z tych aplikacji nie zdołała włamać się do oficjalnego sklepu Google Play i jako taka jest głównie rozpowszechniana za pośrednictwem zewnętrznych platform aplikacji. Uważa się, że początkowym wektorem włamania są odsyłacze phishingowe rozpowszechniane wśród docelowych użytkowników. Wybrane aplikacje udają przydatne narzędzia oferujące przesyłanie wiadomości, zarządzanie zdjęciami, instrukcje jogi, strumieniowe przesyłanie treści i nie tylko.

Funkcje grożące

PhoneSpy może nie należeć do najbardziej wyrafinowanych RAT-ów, ale jego możliwości nie należy lekceważyć. Gdy użytkownicy pobiorą i uruchomią plik APK jednej z fałszywych aplikacji, uruchomi to wdrożenie PhoneSpy na ich urządzeniach. Pierwszą czynnością podjętą przez zagrożenie jest wyświetlenie strony phishingowej zaprojektowanej tak, aby wyglądała, jakby pochodziła z legalnej usługi, takiej jak aplikacja do przesyłania wiadomości Kakao Talklication Fałszywa strona będzie próbowała przekonać użytkownika do nadania jej wielu uprawnień urządzenia.

PhoneSpy następnie ustanowi procedury nadzoru i zacznie zbierać prywatne informacje z urządzenia. RAT może śledzić lokalizację użytkownika za pomocą GPS urządzenia, robić zdjęcia, nagrywać dźwięk lub wideo poprzez przejęcie mikrofonu i kamery urządzenia, przechwytywać przychodzące wiadomości SMS, ustanawiać przekierowanie połączeń, zbierać dzienniki połączeń i listy kontaktów, a nawet wysyłać dowolne wiadomości z urządzenie przy użyciu konta ofiary i danych uwierzytelniających. Ogromna ilość zebranych danych zostanie przesłana do serwerów Command-and-Control (C2, C&C) atakujących.

Aby pozostać ukrytym na urządzeniu, PhoneSpy wykorzystuje techniki zaciemniania swojego kodu. Usunie również ikonę fałszywej aplikacjiwykrycie z ekranu telefonu, co jest częstym działaniem ukrywania obserwowanym w przypadku tych zagrożeń RAT. PhoneSpy może nawet próbować pozbyć się rozwiązań bezpieczeństwa mobilnego obecnych na urządzeniu, próbując je odinstalować.