Pozor na tieto dve aplikácie: šíri sa cez ne spyware, ktorý sa v telefóne obete dokáže dlho skrývať

Bezpečnostní analytici objavili veľkú kampaň hackerov, ktorí šíria spyware. Do telefónov sa najčastejšie dostáva cez tieto aplikácie.

Android Upozornenie na virus_titulka
Zdroj: Vosveteit.sk

Výskumníci zo spoločnosti CYFIRMA objavili nový škodlivý softvér pre Android, ktorý je pripisovaný hackerskej skupine DoNot Team (tiež známej ako APT-C-35 alebo Origami Elephant). Táto skupina je aktívna najmenej od roku 2016 a zameriava sa na vládne a vojenské organizácie, ministerstvá zahraničných vecí či rôzne ambasády.

Nový škodlivý softvér: Tanzeem a Tanzeem Update

V októbri a decembri 2024 výskumníci identifikovali dve verzie škodlivých aplikácií pre Android s názvami „Tanzeem“ a „Tanzeem Update„. Názov „Tanzeem“ v urdčine znamená „organizácia“, čo môže naznačovať cielenie na konkrétne skupiny alebo jednotlivcov.

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Tieto nebezpečné aplikácie sa tvária ako chatovacie platformy, avšak po inštalácii a získaní potrebných povolení sa vypnú a neplnia deklarovanú funkciu. To ale nie je to najhoršie, čo robia.

Hackeri zneužívajú službu OneSignal

Analýza odhalila, že skupina DoNot Team integrovala do svojich aplikácií knižnicu OneSignal, ktorá je bežne používaná na odosielanie push notifikácií, in-app správ, e-mailov a SMS. V tomto prípade je však táto knižnica zneužitá na odosielanie notifikácií obsahujúcich phishingové odkazy, čo predstavuje novú taktiku v arzenáli tejto skupiny. Bezpečnostní experti hovoria, že cez tieto upozornenia sa hackeri snažia dostať do zariadenia ďalšie vírusy, aby sa v ňom čo najdlhšie udržali.

Po inštalácii aplikácia zobrazuje falošnú chatovaciu obrazovku s tlačidlom „START CHAT“. Po kliknutí na toto tlačidlo je používateľ vyzvaný na povolenie prístupu k službám zjednodušenia prístupu (Accessibility Services). Tento prístup umožňuje aplikácii vykonávať následne rôzne škodlivé aktivity v zariadení bez vedomia používateľa.

titulka-malware
Zdroj: Unsplash (Markus Spiske), PNGwing, Úprava: Xmobile.sk

Škodlivá aplikácia vyžaduje množstvo citlivých povolení, ktoré jej umožňujú:

  • Čítanie záznamov hovorov: Umožňuje prístup k histórii hovorov obete.
  • Prístup ku kontaktom: Umožňuje získať zoznam kontaktov uložených v zariadení.
  • Čítanie a odosielanie SMS správ: Umožňuje prístup k textovým správam a potenciálne ich odosielanie bez vedomia používateľa.
  • Prístup k presnej polohe: Umožňuje sledovať geografickú polohu zariadenia v reálnom čase.
  • Prístup k externému úložisku: Umožňuje prehliadať a upravovať súbory uložené v zariadení.
  • Získavanie informácií o účtoch: Umožňuje získať informácie o účtoch priradených k zariadeniu, vrátane e-mailových adries.

Tieto povolenia poskytujú útočníkom komplexný prístup k osobným a citlivým údajom obete, čo môže viesť k rozsiahlemu narušeniu súkromia a bezpečnosti. Rovnako treba povedať, že škodlivá aplikácia komunikuje s riadiacim a kontrolným serverom prostredníctvom šifrovaných kanálov. V minulosti skupina DoNot Team využívala služby ako Firebase na ukladanie a prenos údajov, čo im umožňuje dynamicky meniť správanie malvéru a prijímať príkazy na diaľku.

Škodlivý softvér sa dobre schováva v infikovanom telefóne

Analýza kódu aplikácie odhalila použitie obfuskácie, čo sťažuje jeho analýzu a detekciu bezpečnostnými riešeniami. Použitie nástrojov ako ProGuard umožňuje útočníkom skryť skutočnú funkcionalitu aplikácie a predĺžiť čas potrebný na jej odhalenie.

Najlepšou ochranou pred týmto alebo obdobnými vírusmi, je nesťahovať aplikácie z iných zdrojov ako je Obchod Play. Rovnako by sme si mali dávať pozor na upozornenia, ktoré nám posielajú stránky či telefón, cez ktoré sa môže do mobilu dostať škodlivý softvér.

Sleduj kanál Vosveteit.sk v aplikácii WhatsApp

Komentáre