Népszerű alkalmazásoknak álcázza magát az új, Androidon terjedő kémprogram

forrás: Prím Online, 2020. október 20. 12:22

Egy androidos kémprogram új verzióját kezdték vizsgálni az ESET kutatói, amely mögött az APT-C-23 nevű, 2017 óta főként a Közel-Keleten aktív, hírhedten veszélyes bűnözői csoport áll. Az ESET által észlelt Android/SpyC23.A nevű új kémprogram a korábbi verziókat fejleszti tovább, kiszélesített kémtevékenységgel, új lopakodó funkciókkal és megújított C&C kommunikációval. Egyik terjeszkedési útvonala az Android hamisított alkalmazásáruházán keresztül vezet: a felhasználók átverése érdekében olyan jól ismert üzenetküldő appoknak álcázza magát, mint a Threema vagy a Telegram.

Az ESET szakemberei akkor kezdtek el nyomozni a rosszindulatú szoftver után, amikor az egyik kutató Twitteren beszámolt egy addig ismeretlen androidos kártevőről, még 2020 áprilisában. „Közös elemzésünk során kiderült, hogy ez a kártékony szoftver az APT-C-23 fegyvertárának része: a mobilos kártevőjük egy új, továbbfejlesztett verziója” – magyarázta Lukáš Štefanko, az ESET kutatója, aki behatóan tanulmányozta az Android/SpyC23.A-t. 

 

A kémprogramra az Android hamisított áruházában találtak rá, ahol első ránézésre hitelesnek tűnő alkalmazások mögött bújt meg. „Amikor megvizsgáltuk a Google Play-nek látszó hamis boltot, kártékony és tiszta elemeket is találtunk benne. A rosszindulatú szoftver olyan alkalmazásokban rejtőzött el, mint az AndroidUpdate, a Threema és a Telegram. Néhány esetben az áldozatok egyszerre töltötték le a kártékony szoftvert és az álcázásra használt appot” – tette hozzá Štefanko. 

 

A letöltés után a kártevő egy sor bizalmas jellegű engedélyt kér, amiket biztonsági funkciónak álcáz: „A támadók megtévesztéssel vették rá az áldozatokat arra, hogy különféle bizalmas engedélyeket is megadjanak a rosszindulatú szoftvernek. Például az értesítések elolvasásához kért engedélyt üzenettitkosítási funkciónak álcázták” – részletezte Štefanko.

 

Az engedélyezés után a kártevő többféle kémtevékenységet végez, követve a C&C vezérlőszervertől kapott távoli utasításokat. A hangrögzítésen, a hívásnaplók, SMS-ek és névjegyek szűrésén, illetve a fájlok ellopásán túl a megújított Android/SpyC23.A az üzenetküldő alkalmazások értesítéseit is el tudja olvasni, telefonhívásokat rögzít és visszautasíthat olyan értesítéseket, amik az Androidok beépített biztonsági alkalmazásaitól érkeznek. A kártékony szoftver C&C kommunikációját is továbbfejlesztették, emiatt a távoli vezérlőszervert még nehezebben ismerik fel a kiberbiztonsági kutatók.

 

Köztudott, hogy az APT-C-23 csoport tagjai Windows és Android elemeket is felhasználnak a működésük során. A Two-tailed Scorpion (Kétfarkú Skorpió) név alatt futó Android elemekről először az Qihoo 360 Technology nevű kínai internetes biztonsági vállalat számolt be 2017-ben. Azóta már megannyi tanulmány jelent meg az APT-C-23 mobilon terjedő kártevőiről. Az Android/SpyC23.A – a csoport kémprogramjának legújabb verziója – megannyi új fejlesztése miatt vált még veszélyesebbé a felhasználók számára.

 

„Azt tanácsoljuk az Android-felhasználóknak, hogy a kémprogramokkal szembeni biztonságuk megőrzése érdekében csak és kizárólag az eredeti, hivatalos Google Play Áruházból töltsenek le alkalmazásokat, alaposan ellenőrizzék az engedélykéréseket, és használjanak megbízható, naprakész mobilos biztonsági megoldást” – foglalta össze Štefanko. Ennek a különösen fejlett kémprogramnak a leleplezése remélhetőleg tovább erősítheti a trójai támadások elleni tudatos védekezés fontosságát. Az ESET szakértői a Google Play védelmi csapatának kulcsszereplőiként azt javasolják a felhasználóknak, hogy minden platformon használjanak megbízható és hiteles védelmi szoftvert. 

 

További technikai részletek a WeLiveSecurity APT-C-23 group evolves its Android spyware című angol nyelvű blogposztjában olvashatók.

Biztonság ROVAT TOVÁBBI HÍREI

K&H: az óvatosság már kevés a csalókkal szemben, többre van szükség

A mesterséges intelligencia megjelenése a pénzügyi csalók eszköztárában odavezetett, hogy a laikusok már nem bízhatnak abban, amit látnak vagy hallanak, mert hamis lehet. A K&H Bank segít, hogy egyszerű módszerekkel felismerhesd a támadásokat.

2024. szeptember 18. 13:15

Együttműködési megállapodást jelentett be a SentinelOne és a Lenovo

Többéves együttműködést jelentett be a SentinelOne és a Lenovo, amely keretében Lenovo felhasználók millióinak teszik elérhetővé világszerte a mesterséges intelligencia által vezérelt végpont alapú biztonságot. A Lenovo a SentinelOne iparágvezető Singularity Platformját és generatív AI funkcióit (Purple AI) építi be új PC-ibe, valamint olyan frissítéseket kínál a felhasználóknak, amivel bővíthetik a ThinkShield biztonsági portfólióját és autonóm módon védhetik meg az eszközöket a modern támadásoktól.

2024. szeptember 18. 11:36

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Ezek a MI legnagyobb veszélyei az oktatásban

2024. szeptember 17. 11:37

Techóriások özönlöttek a Városligetbe

2024. szeptember 13. 17:00

Belföldön az elmúlt 2 évben megduplázódott a nyári adatforgalom

2024. szeptember 9. 13:10

Megújult fizetési felülettel erősíti tovább pozícióját az online fizetési piacon a Barion

2024. augusztus 25. 15:34