PhoneSpy Malware

En aktiv spionagekampanj riktad mot sydkoreanska användare har identifierats av säkerhetsexperter. Enligt deras fynd strävar angriparna efter att äventyra användarnas Android-enheter genom att infektera dem med PhoneSpy malware-hotet - en avancerad RAT (Remote Access Trojan) som kan utföra många påträngande åtgärder på de intrångade enheterna. Det verkar som att hackers huvudmål är att samla in enorma mängder känslig personlig eller företagsinformation från sina offer.

Hittills har cybersäkerhetsexperter upptäckt 23 olika vapentillämpningar som bär på hotet. Det bör noteras att ingen av dessa applikationer har lyckats bryta mot den officiella Google Play-butiken och som sådan sprids de huvudsakligen via appplattformar från tredje part. Den initiala vektorn för kompromiss tros vara nätfiske-länkar fördelade mellan målanvändarna. De valda applikationerna låtsas vara användbara verktyg som erbjuder meddelandehantering, fotohantering, yogainstruktioner, innehållsströmning och mer.

Hotande funktioner

PhoneSpy kanske inte är bland de mest sofistikerade RAT:erna där ute, men dess kapacitet bör inte underskattas. När användare har laddat ner och kört APK-filen för en av de falska applikationerna kommer den att utlösa distributionen av PhoneSpy på deras enheter. Den första åtgärden som hotet vidtar är att visa en nätfiskesida utformad för att se ut som om den kommer från en legitim tjänst, som meddelandeappen Kakao Talklication Den falska sidan kommer att försöka övertyga användaren att ge den åtskilliga enhetsbehörigheter.

PhoneSpy kommer sedan att etablera sina övervakningsrutiner och börjar samla in privat information från enheten. RAT kan spåra användarens plats via enhetens GPS, ta bilder, spela in ljud eller video genom att kapa enhetens mikrofon och kamera, avlyssna inkommande SMS, upprätta vidarekoppling, samla samtalsloggar och kontaktlistor och till och med skicka godtyckliga meddelanden från enheten med hjälp av offrets konto och användaruppgifter. Den stora mängden insamlad data kommer att överföras till angriparnas Command-and-Control-servrar (C2, C&C).

För att förbli dold på enheten använder PhoneSpy obfuskeringstekniker för sin kod. Det kommer också att ta bort ikonen för den falska appenlikering från telefonens skärm, en vanlig döljande åtgärd som observeras i dessa RAT-hot. PhoneSpy kan till och med försöka bli av med mobila säkerhetslösningar som finns på enheten genom att försöka avinstallera dem.