TianySpy Malware

Malware TianaSpy to mobilny inforstealer, którego celem są japońscy użytkownicy Androida i iPhone'a. Zagrożenie rozprzestrzeniało się za pośrednictwem wiadomości typu „smishing”, co jest częstym zjawiskiem w przypadku groźnych kampanii wymierzonych w urządzenia z Androidem, ale niezwykle rzadko można je spotkać w przypadku iPhone'ów. W rzeczywistości, zgodnie z raportem o zagrożeniu opublikowanym przez TrendMicro, po raz pierwszy widzieli atak polegający na rozsiewaniu zagrożeń dla iPhone'a.

Łańcuch infekcji zaczyna się od zwabionego SMS-a, który ma pojawić się w firmie telekomunikacyjnej. Wiadomość zawiera łącze do zhakowanej witryny. Tam użytkownikom przedstawiane są instrukcje pobierania rzekomego oprogramowania zabezpieczającego, ale w rzeczywistości otrzymywali zagrożenie ze strony złośliwego oprogramowania.

Alternatywne komunikaty o przynętach

Zaobserwowano dwie różne wersje komunikatu przynęty. Pierwszy z nich jest dostarczany za pośrednictwem zhakowanej usługi dostarczania SMS-ów i można go przetłumaczyć na: „Wykryto nieautoryzowany dostęp do Twojego konta. Proszę potwierdzić.' (Oryginalna wiadomość to -【●●●】お客様がご利用の●アカウントが不正利用の可能性があります。ご確認が必要です). Zarówno użytkownicy Androida, jak i iPhone'a, którzy uzyskali dostęp do odsyłacza w tej wiadomości, zostali zainfekowani TianaSpy.

Alternatywny SMS z przynętą twierdzi, że „Twoja płatność nie mogła zostać potwierdzona. Proszę potwierdzić.'”(Oryginalna wiadomość to - ●●●お客様センターです。ご利用料金のお支払い確認が取れておりません。ご確認が必要です。) Badacze uważają, że te wiadomości pochodzą z urządzeń zainfekowanych systemem Android zagrożenie złośliwym oprogramowaniem „AndroidOS_KeepSpy.GCL”. Ta druga wersja ataku również zrzuciła TianaSpy na urządzenia iPhone, ale użytkownicy Androida zostali zainfekowani KeepSpy.

Funkcje grożące

TianaSpy mógł zostać stworzony w celu zbierania danych uwierzytelniających konta ofiary powiązanych ze stronami członkowskimi należącymi do znanych japońskich firm telekomunikacyjnychkonkretnie. Mówiąc dokładniej, złośliwe oprogramowanie jest w stanie uzyskać ustawienia Wi-Fi zainfekowanego urządzenia, uruchomić uszkodzony JavaScript w celu zebrania dodatkowych danych, otwierać niebezpieczne lub fałszywe strony i eksfiltrować zebrane informacje za pośrednictwem poczty e-mail. Ponadto TianaSpy może nadużywać WebView na urządzeniach z systemem Android w celu fałszowania danych wyświetlanych na oficjalnej stronie legalnej firmy telekomunikacyjnej, w szczególności oświadczenia o korzystaniu z witryny.