Tieto Android aplikácie si ihneď odstráňte zo smartfónu! Kradnú z telefónu fotografie a ďalšie citlivé údaje!
Internetom sa prehnala nová vlna špionážnej kampane. V Obchode Play sa objavilo viac ako desať podvodných aplikácií.
Bezpečnostní experti z ESETu postrehli novú špionážnu hackerskú kampaň, ktorá sa zameriava primárne na Android užívateľov a šíri sa cez podvodné aplikácie maskujúce sa za četovacie služby.
Špionážny softvér XploitSPY
Podvodné aplikácie fungujú tak, ako majú, čo znamená, že užívateľom skutočne ponúkajú funkčnú četovaciu platformu. Popri tom ale ukrývajú open-source špionážny malvér XploitSPY. Bezpečnostní experti vysledovali začiatky kampane ku koncu roka 2021, pričom pretrvávala až do konca roku 2023. Falošné aplikácie so spywarom distribuovali útočníci cez vlastné stránky a istý čas sa aplikácie nachádzali aj na platforme Google Play.
Aktivita okolo falošných aplikácií sa nespája so žiadnou známou hackerskou skupinou. Všetky falošné aplikácie nemali veľký počet stiahnutí, čo znamená, že útok nezasiahol až tak veľkú skupinu užívateľov. Napriek tomu odporúčame, ak ste si stiahli niektorú z ďalej uvedených aplikácií, aby ste si ju urýchlene odinštalovali a skontrolovali zariadenie dôverovaným antivírovým programom. Najviac stiahnutí mali aplikácie Dink Messenger, Sim Info a Defcom. Popri tom experti z ESETu odhalili ešte desať ďalších aplikácií, ktoré mali zanedbateľný počet stiahnutí. Všetky aplikácie Google stiahol z obchodu. Medzi ďalšie aplikácie patrí napríklad ChitChat, WeTalk, Telco DB a Alpha Chat.
Hackeri kradnú citlivé dáta
Po nainštalovaní četovacej aplikácie sa spustil aj spyware. Ten dokázal získať info o GPS polohe zariadenia, získať názvy všetkých súborov v konkrétnych priečinkoch zariadenia. Tento spyware sa zameriava primárne na zložky, kde sa ukladajú fotografie, stiahnuté súbory a súbory z rôznych iných četovacích aplikácií, napríklad Telegramu alebo WhatsApp. XploitSPY kategorizuje súbory na základe dôležitosti. Ak malvér vyhodnotí súbory ako dôležité, tie vytiahne zo zariadenia a posiela ich na server útočníka.
Ako sme už spomenuli, podvodná četovacia aplikácia je plne funkčná. Bezpečnostní experti síce postrehli, že vo väčšine prípadov človek síce nekomunikuje s niekým reálnym, no aplikácia sa v tomto bode snaží napodobniť reálne aplikácie. Spyware XploitSPY už existuje niekoľko rokov, počas ktorých sa postupne vyvíjal. Dnes spyware dokáže zmiasť bezpečnostné funkcie, odhalí či sa nachádza v emulátory alebo schová adresy na servery útočníkov.
Neprehliadnite
Rovnako sme už spomenuli aj to, že ide o open-source spyware. Znamená to, že jeho zdrojový kód sa nachádza voľne na internete a postupom rokov ho rôzni hackeri vylepšovali a pridávali svoje vlastné funkcie. XploitSPY používa niekoľko hackerských skupín, napríklad Transparent Tribe, ktorej aktivitu monitorovala Meta.
Bezpečnostní experti z ESETu ale vysvetľujú, že v prípade týchto falošných četovacích aplikácií a kampane, ktorú sledujú pod názvom “eXotic Visit” použili hackeri úplne nové, doteraz nevidené modifikácie.
Všetky doteraz objavené podvodné aplikácie sa už v Obchode Play nenachádzajú. Užívatelia by však stále mali dbať na zvýšenú opatrnosť v prípade falošných webstránok vytvorených útočníkmi. Pri takzvanom sideloadingu, teda sťahovaní a inštalovaní aplikácií mimo oficiálnych obchodov, sťahujte len zo zdrojov, ktorým plne dôverujete.
Komentáre