Pozor na tieto dve aplikácie: šíri sa cez ne spyware, ktorý sa v telefóne obete dokáže dlho skrývať
Bezpečnostní analytici objavili veľkú kampaň hackerov, ktorí šíria spyware. Do telefónov sa najčastejšie dostáva cez tieto aplikácie.
Výskumníci zo spoločnosti CYFIRMA objavili nový škodlivý softvér pre Android, ktorý je pripisovaný hackerskej skupine DoNot Team (tiež známej ako APT-C-35 alebo Origami Elephant). Táto skupina je aktívna najmenej od roku 2016 a zameriava sa na vládne a vojenské organizácie, ministerstvá zahraničných vecí či rôzne ambasády.
Nový škodlivý softvér: Tanzeem a Tanzeem Update
V októbri a decembri 2024 výskumníci identifikovali dve verzie škodlivých aplikácií pre Android s názvami „Tanzeem“ a „Tanzeem Update„. Názov „Tanzeem“ v urdčine znamená „organizácia“, čo môže naznačovať cielenie na konkrétne skupiny alebo jednotlivcov.
Tieto nebezpečné aplikácie sa tvária ako chatovacie platformy, avšak po inštalácii a získaní potrebných povolení sa vypnú a neplnia deklarovanú funkciu. To ale nie je to najhoršie, čo robia.
#CYFIRMA has analyzed #malware linked to the #Indian #APTgroup #DONOT, uncovering its use of a deceptive app called “#Tanzeem” to gather intelligence under the guise of a chat platform. #CyberSecurity #ThreatIntelligence #OneSignal #androidmalware https://t.co/CzAWFwOGHa
— CYFIRMA Research (@CyfirmaR) January 20, 2025
Hackeri zneužívajú službu OneSignal
Analýza odhalila, že skupina DoNot Team integrovala do svojich aplikácií knižnicu OneSignal, ktorá je bežne používaná na odosielanie push notifikácií, in-app správ, e-mailov a SMS. V tomto prípade je však táto knižnica zneužitá na odosielanie notifikácií obsahujúcich phishingové odkazy, čo predstavuje novú taktiku v arzenáli tejto skupiny. Bezpečnostní experti hovoria, že cez tieto upozornenia sa hackeri snažia dostať do zariadenia ďalšie vírusy, aby sa v ňom čo najdlhšie udržali.
Neprehliadni
Po inštalácii aplikácia zobrazuje falošnú chatovaciu obrazovku s tlačidlom „START CHAT“. Po kliknutí na toto tlačidlo je používateľ vyzvaný na povolenie prístupu k službám zjednodušenia prístupu (Accessibility Services). Tento prístup umožňuje aplikácii vykonávať následne rôzne škodlivé aktivity v zariadení bez vedomia používateľa.
Škodlivá aplikácia vyžaduje množstvo citlivých povolení, ktoré jej umožňujú:
- Čítanie záznamov hovorov: Umožňuje prístup k histórii hovorov obete.
- Prístup ku kontaktom: Umožňuje získať zoznam kontaktov uložených v zariadení.
- Čítanie a odosielanie SMS správ: Umožňuje prístup k textovým správam a potenciálne ich odosielanie bez vedomia používateľa.
- Prístup k presnej polohe: Umožňuje sledovať geografickú polohu zariadenia v reálnom čase.
- Prístup k externému úložisku: Umožňuje prehliadať a upravovať súbory uložené v zariadení.
- Získavanie informácií o účtoch: Umožňuje získať informácie o účtoch priradených k zariadeniu, vrátane e-mailových adries.
Tieto povolenia poskytujú útočníkom komplexný prístup k osobným a citlivým údajom obete, čo môže viesť k rozsiahlemu narušeniu súkromia a bezpečnosti. Rovnako treba povedať, že škodlivá aplikácia komunikuje s riadiacim a kontrolným serverom prostredníctvom šifrovaných kanálov. V minulosti skupina DoNot Team využívala služby ako Firebase na ukladanie a prenos údajov, čo im umožňuje dynamicky meniť správanie malvéru a prijímať príkazy na diaľku.
Škodlivý softvér sa dobre schováva v infikovanom telefóne
Analýza kódu aplikácie odhalila použitie obfuskácie, čo sťažuje jeho analýzu a detekciu bezpečnostnými riešeniami. Použitie nástrojov ako ProGuard umožňuje útočníkom skryť skutočnú funkcionalitu aplikácie a predĺžiť čas potrebný na jej odhalenie.
Najlepšou ochranou pred týmto alebo obdobnými vírusmi, je nesťahovať aplikácie z iných zdrojov ako je Obchod Play. Rovnako by sme si mali dávať pozor na upozornenia, ktoré nám posielajú stránky či telefón, cez ktoré sa môže do mobilu dostať škodlivý softvér.
Komentáre