Ekspertai atskleidė, kaip nauja "Android" šnipinėjimo programa vagia naudotojų žinutes

Kaip aiškina ekspertai, naudodamiesi grėsmėmis užpuolikai gali pavogti kontaktus, įrašytus telefono skambučius ir net žinutes iš tokių programų kaip "WhatsApp", "Facebook Messenger", "Signal", "Viber" ir "Telegram".

Kenkėjišką programinę įrangą platina APT grupė "Bahamut" per suklastotą "SecureVPN" svetainę.

ESET tyrėjai aptiko bent 8 šnipinėjimo programos versijas, o tai rodo, kad kibernetiniai nusikaltėliai yra labai gerai apmokyti.

Verta paminėti, kad šių kenkėjiškų programų niekada nebuvo galima atsisiųsti iš "Google Play".

"Kenkėjiškos programos funkcijos leidžia sekti naudotojo įvestus duomenis.

Tokiu būdu kenkėjiška programinė įranga neleistinai naudojasi specialiųjų funkcijų paslaugomis.

Atakos yra tikslinės, nes neaptikome dėsningumų ESET telemetrijos duomenyse", - aiškina ESET tyrėjas Lukasz Stefanko. - Be to, prieš įjungiant VPN ir šnipinėjimo funkcijas, programa siunčia prašymą įjungti aktyvavimo raktą.

Aktyvinimo raktas ir nuoroda į svetainę naudotojams tikriausiai siunčiami tikslingai.

Taip kibernetiniai nusikaltėliai bando užkirsti kelią tam, kad kenkėjiškas komponentas nebūtų paleistas iš karto po paleidimo netikslinio naudotojo įrenginyje arba analizės metu.

ESET tyrėjai jau yra užfiksavę, kaip panaši apsauga buvo naudojama kitose "Bahamut" grupės atakose.

Visi užfiksuoti duomenys saugomi vietinėje duomenų bazėje ir siunčiami į valdymo ir kontrolės serverį (C&C).

Šnipinėjimo programos funkcijos leidžia atnaujinti programinę įrangą gaunant nuorodą į naują versiją iš C&C serverio.

Kaip veikia šnipinėjimo programinė įranga?

Jei įjungta šnipinėjimo programinė įranga, įsilaužėliai gali nuotoliniu būdu jį valdyti ir pavogti įvairius slaptus duomenis, pavyzdžiui, kontaktus, SMS žinutes, skambučių žurnalus, įdiegtų programų sąrašą, įrenginio buvimo vietą, paskyras, įrenginio informaciją (interneto ryšio tipą, IMEI, IP, SIM kortelės serijos numerį), įrašytus telefono skambučius ir išorinėje atmintyje esančių failų sąrašą.

Naudodama specialias paslaugas, kenkėjiška programa gali pavogti užrašus iš "SafeNotes" ir šnipinėti žinutes bei skambučių informaciją iš populiarių žinučių siuntėjų, tokių kaip "Facebook Messenger", "Viber", "Signal", "WhatsApp", "Telegram", "WeChat", "Conion" programa ir "imo-International Calls & Chat".

Kas žinoma apie "Bahamut" kibernetinių nusikaltėlių grupuotę?

"Bahamut" grupė paprastai naudoja žinutes ir suklastotą programinę įrangą kaip pirminį atakos prieš įmones ir asmenis Artimuosiuose Rytuose ir Pietų Azijoje vektorių.

Pagrindinė šios užpuolikų grupės veikla - kibernetinis šnipinėjimas.

ESET tyrėjai mano, kad jų tikslas - iš aukų pavogti konfidencialią informaciją.

"Bahamut" taip pat vadinama samdinių grupe, teikiančia puolimo paslaugas įvairiems klientams.

Kibernetiniams nusikaltėliams Bahamuto - didžiulės žuvies Arabijos jūroje - vardą suteikė tiriamosios žurnalistikos grupė "Bellingcat".

Kad netaptumėte tokių grėsmių aukomis, verta laikytis pagrindinių kibernetinio saugumo taisyklių, pavyzdžiui, atsisiųsti programas tik iš oficialių parduotuvių, stebėti jų leidimus ir pasirūpinti, kad mobilusis įrenginys būtų apsaugotas patikima programa, kuri laiku aptiktų ir išjungtų pavojingas programas.

Suklastota SecureVPN svetainė, platinanti Trojos arklį / ESET nuotr.