Majitelia Samsungov pozor! Ruskí hackeri šíria dva spywary, ktoré ovládnu tvoje zariadenie

Bezpečnostní analytici pozorujú ruskú skupinu Gamaredon, ktorá na zariadeniach Samsung šíri spyware BoneSpy a PlainGnome.

Ruskí hackeri cielia na Samsung smartfóny s dvoma malvérmi
Zdroj: Pixabay (satheeshsankaran),Wikimedia (Samsung), Úprava: Vosveteit.sk

Bezpečnostní analytici z Lookout Threat Lab odhalili dva Android malvéry BoneSpy a PlainGnome. Tento škodlivý softvér sa viaže na Ruskú hackerskú skupinu Gamaredon a cieli na majiteľov Samsung smartfónov.  

Predpokladá sa, že hackeri zo skupiny Gamaredon spadajú pod Ruskú tajnú službu a tieto dva malvéry sú prvý mobilný škodlivý softvér, ktorý môžeme skupine pripísať. Malvér BoneSpy a PlainGnome cieli na rusky hovoriace krajiny bývalého Sovietskeho zväzu. V minulosti bola skupina Gamaredon známa svojimi útokmi na Ukrajine.  

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

V rámci nových útokov nedokázali výskumníci odhaliť špecifické ciele. Útoky však pripísali skupine Gamaredon na základe IP adresy Command and Control domén pre oba sledované malvéry.  

rusko hackeri
Zdroj: trambler58 / shutterstock.com

Väzby na Ruskú spravodajskú službu

Malvér BoneSpy je odvodený z ruskej open-source sledovacej aplikácie DroidWatcher, ktorá bola vo vývoji v rokoch 2013 a 2014. PlainGnome sa na tejto voľne šíriteľnej architektúre nezakladá, no zdieľa viacero podobností s malvérom BoneSpy. PlainGnome sa však inštaluje v dvoch krokoch, zatiaľ čo BoneSpy pracuje v jednej falošnej aplikácií.  

Oba malvéry sa pokúšajú získať prístup k rootu smartfónu. Popri tom uplatňujú niekoľko metód na vyhnutie sa odhaleniu a analýze. Po inštalácii malvér získava informácie o zariadení, sleduje polohu smartfónu a ďalšie citlivé dáta, napríklad SMS správy, nahráva hovory a audiosprávy, monitoruje notifikácie a ďalšie.  

BoneSpy a PlainGnome zároveň majú funkcionality na vykonanie cielených manipulačných podvodov. Bezpečnostní analytici odhadujú, že to je primárny spôsob distribúcie. Počas výskumu oboch malvérov sa nenašli stopy, že by sa škodlivý softvér šíril pomocou Obchodu Play.  

“Malvér BoneSpy ukazuje, že bol v prebiehajúcom vývoji od januára do októbra 2022. Následne začali ďalšie vzorky malvéru vykazovať konzistentnú štruktúru kódu. Neskôr hackeri zo skupiny Gamaredon používali na šírenie malvéru viacero trojanizovaných aplikácií. Tie sa vydávali za monitorovanie batérie, galérie, falošné Samsung Knox aplikácie, či falošné Telegram aplikácie,” vysvetľujú bezpečnostní analytici.

Malvér BoneSpy vedia ovládať cez SMS správy

Významnou funkciou malvéru BoneSpy je schopnosť jeho ovládania cez SMS správy. Ako sme už spomenuli, tento malvér sa zakladá na open-source špionážnom softvéri DroidWatcher. Výskumníci nepostrehli, že by pri vývoji hackeri použili kód inej sledovacej aplikácie.  

Čo sa malvéru PlainGnome týka, ten infikuje zariadenie v dvoch krokoch. Prvým krokom je minimalistická škodlivá aplikácia, ktorá sa inštaluje do smartfónu obete. Prvý a druhý krok infekcie využíva variáciu Telegram balíku, pričom funkcionalitou sa tento malvér veľmi podobá na BoneSpy. Znamená to, že dokáže sledovať SMS správy, notifikácie, zachytávať snímky obrazovky, nahrávať hovory a ďalšie.  

Keďže sa v prvej fáze útoku inštaluje aplikácia, ktorá stiahne do zariadenia dodatočný balík, tento malvér sa spolieha na povolenie inštalovať dodatočné aplikácie. Prvá fáza útoku je ľahká, čo sa týka škodlivého kódu, no obsahuje základné škodlivé funkcionality, napríklad kontroluje, či malvér nebeží v emulátore. Následne užívateľ spustí druhú fázu infekcie kliknutím na jediné tlačidlo, ktoré aplikácia ponúka. Ide o tlačidlo s nápisom v ruštine, ktorý vo voľnom preklade znamená katalóg alebo priečinok.

Ako rozpoznať falošné aplikácie v Obchode Play?
Zdroj: Pixabay (Neo_Artemis, u_ihw9gfz0de, CristianoTavares, succo), Úprava: Vosveteit.sk

Malvéry sledujú každý aspekt smartfónu

Bezpečnostní analytici poukazujú na to, že sa malvér PlainGnome výrazne zmenil od januára do októbra tohto roka. Samotný malvér, ktorý sa doručí do zariadenia v druhej fáze útoku, potrebuje 38 citlivých povolení. Cez tieto povolenia dokáže monitorovať prakticky každý aspekt smartfónu.  

Hlbšia analýza tohto škodlivého softvéru ukázala, že má dve fázy ambientného nahrávania zvuku. Jedna fáza sa automaticky vypne keď sa zapne displej zariadenia. Druhá fáza nahráva zvuk bez ohľadu na to, v akom stave sa obrazovka zariadenia nachádza. Novšie verzie Androidu totiž majú ikonu mikrofónu, ktorá užívateľovi prezradí, že sa práve nahráva zvuk. To môže viesť k odhaleniu malvéru.  

Oba malvéry cielia primárne na Samsung zariadenia a hackeri útočia na krajiny bývalého Sovietskeho zväzu. Je možné, že týmito dvoma malvérmi zasiahnu aj Slovensko.  

Prihlás sa k odberu správ z Vosveteit.sk cez Google správy

Komentáre