Majitelia Samsungov pozor! Ruskí hackeri šíria dva spywary, ktoré ovládnu tvoje zariadenie
Bezpečnostní analytici pozorujú ruskú skupinu Gamaredon, ktorá na zariadeniach Samsung šíri spyware BoneSpy a PlainGnome.
Bezpečnostní analytici z Lookout Threat Lab odhalili dva Android malvéry BoneSpy a PlainGnome. Tento škodlivý softvér sa viaže na Ruskú hackerskú skupinu Gamaredon a cieli na majiteľov Samsung smartfónov.
Predpokladá sa, že hackeri zo skupiny Gamaredon spadajú pod Ruskú tajnú službu a tieto dva malvéry sú prvý mobilný škodlivý softvér, ktorý môžeme skupine pripísať. Malvér BoneSpy a PlainGnome cieli na rusky hovoriace krajiny bývalého Sovietskeho zväzu. V minulosti bola skupina Gamaredon známa svojimi útokmi na Ukrajine.
V rámci nových útokov nedokázali výskumníci odhaliť špecifické ciele. Útoky však pripísali skupine Gamaredon na základe IP adresy Command and Control domén pre oba sledované malvéry.
Väzby na Ruskú spravodajskú službu
Malvér BoneSpy je odvodený z ruskej open-source sledovacej aplikácie DroidWatcher, ktorá bola vo vývoji v rokoch 2013 a 2014. PlainGnome sa na tejto voľne šíriteľnej architektúre nezakladá, no zdieľa viacero podobností s malvérom BoneSpy. PlainGnome sa však inštaluje v dvoch krokoch, zatiaľ čo BoneSpy pracuje v jednej falošnej aplikácií.
Oba malvéry sa pokúšajú získať prístup k rootu smartfónu. Popri tom uplatňujú niekoľko metód na vyhnutie sa odhaleniu a analýze. Po inštalácii malvér získava informácie o zariadení, sleduje polohu smartfónu a ďalšie citlivé dáta, napríklad SMS správy, nahráva hovory a audiosprávy, monitoruje notifikácie a ďalšie.
Neprehliadni
BoneSpy a PlainGnome zároveň majú funkcionality na vykonanie cielených manipulačných podvodov. Bezpečnostní analytici odhadujú, že to je primárny spôsob distribúcie. Počas výskumu oboch malvérov sa nenašli stopy, že by sa škodlivý softvér šíril pomocou Obchodu Play.
“Malvér BoneSpy ukazuje, že bol v prebiehajúcom vývoji od januára do októbra 2022. Následne začali ďalšie vzorky malvéru vykazovať konzistentnú štruktúru kódu. Neskôr hackeri zo skupiny Gamaredon používali na šírenie malvéru viacero trojanizovaných aplikácií. Tie sa vydávali za monitorovanie batérie, galérie, falošné Samsung Knox aplikácie, či falošné Telegram aplikácie,” vysvetľujú bezpečnostní analytici.
Malvér BoneSpy vedia ovládať cez SMS správy
Významnou funkciou malvéru BoneSpy je schopnosť jeho ovládania cez SMS správy. Ako sme už spomenuli, tento malvér sa zakladá na open-source špionážnom softvéri DroidWatcher. Výskumníci nepostrehli, že by pri vývoji hackeri použili kód inej sledovacej aplikácie.
Čo sa malvéru PlainGnome týka, ten infikuje zariadenie v dvoch krokoch. Prvým krokom je minimalistická škodlivá aplikácia, ktorá sa inštaluje do smartfónu obete. Prvý a druhý krok infekcie využíva variáciu Telegram balíku, pričom funkcionalitou sa tento malvér veľmi podobá na BoneSpy. Znamená to, že dokáže sledovať SMS správy, notifikácie, zachytávať snímky obrazovky, nahrávať hovory a ďalšie.
Keďže sa v prvej fáze útoku inštaluje aplikácia, ktorá stiahne do zariadenia dodatočný balík, tento malvér sa spolieha na povolenie inštalovať dodatočné aplikácie. Prvá fáza útoku je ľahká, čo sa týka škodlivého kódu, no obsahuje základné škodlivé funkcionality, napríklad kontroluje, či malvér nebeží v emulátore. Následne užívateľ spustí druhú fázu infekcie kliknutím na jediné tlačidlo, ktoré aplikácia ponúka. Ide o tlačidlo s nápisom v ruštine, ktorý vo voľnom preklade znamená katalóg alebo priečinok.
Malvéry sledujú každý aspekt smartfónu
Bezpečnostní analytici poukazujú na to, že sa malvér PlainGnome výrazne zmenil od januára do októbra tohto roka. Samotný malvér, ktorý sa doručí do zariadenia v druhej fáze útoku, potrebuje 38 citlivých povolení. Cez tieto povolenia dokáže monitorovať prakticky každý aspekt smartfónu.
Hlbšia analýza tohto škodlivého softvéru ukázala, že má dve fázy ambientného nahrávania zvuku. Jedna fáza sa automaticky vypne keď sa zapne displej zariadenia. Druhá fáza nahráva zvuk bez ohľadu na to, v akom stave sa obrazovka zariadenia nachádza. Novšie verzie Androidu totiž majú ikonu mikrofónu, ktorá užívateľovi prezradí, že sa práve nahráva zvuk. To môže viesť k odhaleniu malvéru.
Oba malvéry cielia primárne na Samsung zariadenia a hackeri útočia na krajiny bývalého Sovietskeho zväzu. Je možné, že týmito dvoma malvérmi zasiahnu aj Slovensko.
Komentáre