Вредоносные программы распространяются APT-группой Bahamut через фальшивый веб-сайт SecureVPN , сообщает unian.net.
Компания ESET – лидер в области информационной безопасности – обнаружила новые шпионские программы, нацеленные на пользователей Android.
Как объясняют эксперты, с помощью угроз злоумышленники могут похищать контакты, записанные телефонные звонки и даже сообщения из таких программ, как WhatsApp, Facebook Messenger, Signal, Viber и Telegram. Вредоносные программы распространяются APT-группой Bahamut через фальшивый вебсайт SecureVPN.
Исследователи ESET обнаружили по меньшей мере 8 версий шпионского программного обеспечения, что свидетельствует о высоком уровне подготовки киберпреступников. Стоит отметить, что эти вредоносные программы никогда не были доступны для загрузки в Google Play.
"Функционал вредоносного программного обеспечения позволяет отслеживать данные, которые вводит пользователь. При этом вредоносная программа несанкционированно использует сервисы специальных возможностей. Атаки осуществляются целенаправленно, поскольку мы не зафиксировали образцов среди данных телеметрии ESET, – объясняет Лукаш Штефанко, исследователь компании ESET. – Кроме того, приложение отправляет запрос на ключ активации, прежде чем включить VPN и функцию шпионажа. Ключ активации и ссылка на сайт, вероятно, отправляются пользователям целенаправленно".
Таким образом киберпреступники пытаются предотвратить срабатыванию вредного компонента сразу после запуска на нецелевом устройстве пользователя или во время анализа. Исследователи ESET уже фиксировали, как подобная защита использовалась во время других атак группы Bahamut..
Все перехваченные данные хранятся в локальной базе данных, а затем отправляются на командный сервер (C&C). Функционал шпионского программного обеспечения позволяет обновлять программу, получая ссылку на новую версию от командного сервера.
Как работает шпионская программа?
Если шпионская программа включена, злоумышленники могут дистанционно управлять ею и похищать различные конфиденциальные данные, такие как контакты, SMS-сообщения, журналы вызовов, список установленных программ, местонахождения устройства, учетные записи, информацию об устройстве (тип подключения к Интернету, IMEI, IP, серийный номер SIM-карты), записанные телефонные звонки и список файлов во внешней памяти.
Используя сервисы специальных возможностей, вредоносное программное обеспечение может похищать заметки из программы SafeNotes и шпионить за сообщениями и информацией о звонках из популярных мессенджеров, таких как Facebook Messenger, Viber, Signal, WhatsApp, Telegram, WeChat, приложения Conion и imo-International Calls & Chat.
Что известно о группе киберпреступников Bahamut?
Группа Bahamut обычно использует сообщения и поддельные программы как начальный вектор атаки на юридических и отдельных лиц на Ближнем Востоке и в Южной Азии. Основным видом деятельности этой группы злоумышленников является кибершпионаж. Исследователи ESET считают, что их целью является похищение конфиденциальной информации у своих жертв.
Bahamut также называют группой наемников, которая предоставляет услуги осуществления атак широкому кругу клиентов. Название Bahamut, что является огромной рыбой в Аравийском море, киберпреступникам дала группа журналистских расследований Bellingcat.
Чтобы не стать жертвой подобных угроз, стоит придерживаться базовых правил кибербезопасности, в частности загружать приложения только из официальных магазинов, контролировать предоставление им разрешений, а также позаботиться о защите мобильного устройства с помощью надежной программы, которая вовремя обнаружит и обезвредит опасных приложение.
О компании:
ESET – эксперт в области защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основанная в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.
Автор Иван Бойко
Источник unian.net