PhoneSpy Вредоносное ПО

Эксперты по безопасности выявили активную шпионскую кампанию против южнокорейских пользователей. Согласно их выводам, злоумышленники стремятся скомпрометировать устройства Android пользователей, заразив их вредоносной угрозой PhoneSpy - продвинутым RAT (трояном удаленного доступа), способным выполнять множество вторжений на взломанных устройствах. Похоже, что основная цель хакеров - собрать огромные объемы конфиденциальных личных или корпоративных данных от своих жертв.

На данный момент эксперты по кибербезопасности обнаружили 23 различных оружейных приложения, несущих угрозу. Следует отметить, что ни одному из этих приложений не удалось проникнуть в официальный магазин Google Play, и поэтому они в основном распространяются через сторонние платформы приложений. Считается, что исходным вектором компрометации являются фишинговые ссылки, распространяемые среди целевых пользователей. Выбранные приложения претендуют на роль полезных инструментов, предлагающих обмен сообщениями, управление фотографиями, инструкции по йоге, потоковую передачу контента и многое другое.

Угрожающие функции

PhoneSpy, возможно, не входит в число самых сложных RAT, но его возможности не следует недооценивать. После того, как пользователи загрузили и запустили APK-файл одного из поддельных приложений, он запустит развертывание PhoneSpy на своих устройствах. Первое действие, предпринимаемое угрозой, - это отображение фишинг-страницы, которая выглядит так, как если бы она исходила от законной службы, такой как приложение для обмена сообщениями Kakao Talk.lication Фальшивая страница будет пытаться убедить пользователя предоставить ей многочисленные разрешения для устройства.

Затем PhoneSpy установит свои процедуры наблюдения и начнет сбор личной информации с устройства. RAT может отслеживать местоположение пользователя через GPS устройства, делать снимки, записывать аудио или видео, захватывая микрофон и камеру устройства, перехватывать входящие SMS-сообщения, устанавливать переадресацию вызовов, собирать журналы вызовов и списки контактов и даже отправлять произвольные сообщения из устройство, использующее учетную запись и учетные данные жертвы. Огромный объем собранных данных будет передан на командные серверы (C2, C&C) злоумышленников.

Чтобы оставаться скрытым на устройстве, PhoneSpy использует методы запутывания своего кода. Он также удалит значок поддельного приложения.Это обычное действие маскировки, наблюдаемое в этих RAT-угрозах. PhoneSpy может даже попытаться избавиться от мобильных решений безопасности, присутствующих на устройстве, попытавшись удалить их.