SmsSpy Malware

Smakowita kampania prowadzona przez grupę hakerów Roaming Mantis wciąż ewoluuje. Głównymi celami operacji byli użytkownicy z krajów azjatyckich, ale teraz hakerzy wdrożyli nowe złośliwe oprogramowanie o nazwie SmsSpy, które zostało zaprojektowane specjalnie do infekowania japońskich użytkowników. Głównym celem tego szkodliwego oprogramowania jest zbieranie numerów telefonów i wiadomości SMS z zainfekowanych urządzeń z Androidem. Zagrożenie jest w stanie wdrożyć dwie różne wersje, w zależności od wersji systemu operacyjnego Android użytkownika, co prowadzi do znacznego wzrostu liczby potencjalnych ofiar.

Początkowy wektor kompromisu

Atak rozpoczyna się od wiadomości SMS typu phishing, które prowadzą użytkowników do uszkodzonej strony internetowej. Dokładny tekst fałszywej wiadomości może się różnić, ponieważ cyberprzestępcy mogą udawać firmę logistyczną, która potrzebuje potwierdzenia dla jakiejś usługi od użytkownika. W innym scenariuszu użytkownicy są rzekomo ostrzegani o problemach z ich kontem bitcoin i proszeni są o skorzystanie z podanego łącza, aby zweryfikować swoje dane logowania.

Strona phishingowa sprawdzi następnie wersję Androida urządzenia użytkownika, aby określić kolejne kroki ataku. Na urządzeniach z systemem Android OS 10 lub nowszym zagrożenie złośliwym oprogramowaniem zostanie wdrożone jako fałszywa aplikacja Google Play. W przypadku urządzeń z systemem Android 9 lub starszym zostanie pobrana fałszywa aplikacja Chrome.

Zagrażająca funkcjonalność SmsSpy

Po zainstalowaniu szkodliwa aplikacja zażąda ustawienia jako domyślnej aplikacji do przesyłania wiadomości, aby urządzenie uzyskało dostęp do kontaktów ofiary i wiadomości SMS. Ekran powiadomienia wyświetlany użytkownikowi odpowiada wersji aplikacji, która została pobrana. Wariant Google Play stanowi usługę bezpieczeństwa, która rzekomo zapewni ochronę przed wirusami, oprogramowaniem szpiegującym, phishingiem i spamem. Jeśli chodzi o fałszywą aplikację Chrome, ostrzega ona użytkowników, że nieakceptowanie jej żądań uprawnień może spowodować, że aplikacja nie będzie mogła się uruchomić lub ograniczyć jej funkcje.

Następnie SmsSpy ukryje swoją ikonę i spróbuje nawiązać komunikację ze swoim serwerem Command-and-Control poprzez komunikację WebSocket. Domyślny adres jest osadzony w kodzie złośliwego oprogramowania, ale zawiera również informacje o łączach, które aktywują się, gdy lokalizacja serwera C2 wymaga aktualizacji. Serwery C2 są zwykle ukryte na stronie profilu użytkownika w serwisie blogowym, ale zaobserwowano również, że niektóre przykłady używają chińskiej usługi dokumentów online w tym samym celu.

Podczas wstępnego uzgadniania złośliwe oprogramowanie SmsSpy wysyła szczegółowe informacje o zainfekowanym urządzeniu, w tym wersję systemu operacyjnego Android, numer telefonu, model urządzenia, unikalny identyfikator urządzenia i typ połączenia internetowego. Zagrożenie przejdzie następnie w tryb nasłuchiwania, w którym pozostaje w stanie uśpienia, czekając na nadchodzące polecenia. Atakujący mogą wydobyć całą książkę kontaktów i wiadomości SMS, wysyłać i usuwać wiadomości SMS i nie tylko.