Специалисты международного разработчика антивирусного программного обеспечения, эксперта в области киберзащиты – компании ESET рассказали о новой шпионской программе для операционной системы Android, которая маскируется под месседжер Telegram и похищает персональные данные пользователей.
Об этом сообщается на сайте компании ESET.
«Компания ESET — лидер в области информационной безопасности — проанализировала новую версию шпионской программы для Android, которая используется группой APT-C-23. Злоумышленники активны минимум с 2017 года, а их атаки в основном направлены на Ближний Восток», - говорится в сообщении.
По данным ESET, новое шпионское программное обеспечение (ПО), которое продукты ESET обнаруживают как Android/SpyC23.A, создано на основе ранее зафиксированных версий вредоносной программы с расширенными функциями шпионажа, новыми возможностями маскирования и обновленным соединением с командным сервером (C&C). Одним из способов распространения угрозы является поддельный магазин приложений для Android, где вредоносная программа выдает себя за известные мессенджеры, такие как Threema и Telegram.
Специалисты ESET начали исследовать эту угрозу после сообщения их коллеги в Twitter в апреле 2020 года о неизвестном образце вредоносного ПО для Android.
«Совместный анализ показал, что эта вредоносная программа была частью арсенала APT-C-23 — новой, усовершенствованной версии их шпионского программного обеспечения для мобильных устройств», — приводятся в сообщении слова исследователя ESET Лукаша Штефанко.
Также эксперты по кибербезопасности обнаружили, что шпионские программы выдают себя за легитимные приложения в поддельном магазине для Android.
«В фальшивом магазине мы обнаружили как вредоносные, так и безопасные объекты. В большинстве случаев, после загрузки вредоносного программного обеспечения, пользователям предлагается установить легитимное приложение, которое используется как приманка (например, Threema). Во время его загрузки вредоносная программа скрывает свое присутствие на зараженном устройстве. Таким образом, пользователи получают желаемое приложение и шпионскую программу, которая незаметно работает в фоновом режиме. В некоторых случаях загруженные приложения (например, WeMessage, AndroidUpdate) не имели реального функционала и были только приманкой для загрузки шпионского ПО», — цитируют в компании ESET Штефанко.
После загрузки на устройство, как добавляют в ESET, вредоносная программа отправляет запрос пользователю на получение ряда важных разрешений, замаскированных под функции безопасности и конфиденциальности.
«Злоумышленники используют методы социальной инженерии, чтобы обманом заставить жертв предоставить вредоносному ПО разные права. Например, разрешение на чтение уведомлений маскируется под функцию шифрования сообщений», — уточняют в компании.
Так, по данным экспертов по кибербезопасности, вредоносное программное обеспечение может выполнять ряд шпионских действий на основе команд с сервера C&C. Кроме записи звука, похищения журналов вызовов, SMS, контактов и файлов, обновленная угроза Android/SpyC23.A может читать оповещения из приложений для обмена сообщениями, делать записи экрана и звонков, а также отклонять сообщения с некоторых встроенных приложений для безопасности Android.
Чтобы защитить себя от шпионской программы, специалисты ESET советуют пользователям Android устанавливать приложения только из официального магазина Google Play, дважды проверять предоставленные разрешения, а также использовать надежное и современное решение для защиты мобильных устройств.
Как сообщал УНИАН, по данным ESET, в Украине ежедневно фиксируется около 300 тыс. новых киберугроз для информационной безопасности. При этом, найти хакеров-злоумышленников крайне сложно, компаниям остается лишь проводить ежеминутные мониторинги на предмет выявления киберугроз с целью их дальнейшего блокирования.
Компания ESET – ведущий разработчик решений в области компьютерной безопасности и эксперт в сфере IТ-безопасности. Компания была основана в 1992 году в Словакии и на сегодня представлена более, чем в 180 странах мира.
Надежда Бурбела
