Компанія ESET – лідер у галузі інформаційної безпеки – виявила нові шпигунські програми, націлені на користувачів Android.
Як пояснюють експерти, за допомогою загроз зловмисники можуть викрадати контакти, записані телефонні дзвінки та навіть повідомлення з таких програм, як WhatsApp, Facebook Messenger, Signal, Viber та Telegram. Шкідливі програми розповсюджуються APT-групою Bahamut через фальшивий вебсайт SecureVPN.
Дослідники ESET виявили щонайменше 8 версій шпигунського програмного забезпечення, що свідчить про високий рівень підготовки кіберзлочинців. Варто зазначити, що ці шкідливі програми ніколи не були доступні для завантаження в Google Play.
"Функціонал шкідливого програмного забезпечення дозволяє відстежувати дані, які вводить користувач. При цьому шкідлива програма несанкціоновано використовує сервіси спеціальних можливостей. Атаки здійснюються цілеспрямовано, оскільки ми не зафіксували зразків серед даних телеметрії ESET, – пояснює Лукаш Штефанко, дослідник компанії ESET. – Крім того, програма надсилає запит на отримання ключа активації, перш ніж увімкнути VPN та функцію для шпигунства. Ключ активації та посилання на сайт, ймовірно, надсилаються користувачам цілеспрямовано".
Таким чином кіберзлочинці намагаються запобігти спрацюванню шкідливого компонента відразу після запуску на нецільовому пристрої користувача або під час аналізу. Дослідники ESET уже фіксували, як подібний захист використовувався під час інших атак групи Bahamut.
Усі перехоплені дані зберігаються у локальній базі даних, а потім надсилаються на командний сервер (C&C). Функціонал шпигунського програмного забезпечення дозволяє оновлювати програму, отримуючи посилання на нову версію від командного сервера.
Як працює шпигунська програма?
Якщо шпигунську програму увімкнено, зловмисники можуть дистанційно управляти нею та викрадати різні конфіденційні дані, такі як контакти, SMS-повідомлення, журнали викликів, список встановлених програм, місцезнаходження пристрою, облікові записи, інформацію про пристрій (тип підключення до Інтернету, IMEI, IP, серійний номер SIM-карти), записані телефонні дзвінки та список файлів у зовнішній пам’яті.
Використовуючи сервіси спеціальних можливостей, шкідливе програмне забезпечення може викрадати нотатки з програми SafeNotes та шпигувати за повідомленнями та інформацією про дзвінки з популярних месенджерів, таких як Facebook Messenger, Viber, Signal, WhatsApp, Telegram, WeChat, додатки Conion та imo-International Calls & Chat.
Що відомо про групу кіберзлочинців Bahamut?
Група Bahamut зазвичай використовує повідомлення та підроблені програми як початковий вектор атаки на юридичних та окремих осіб на Близькому Сході та у Південній Азії. Основним видом діяльності цієї групи зловмисників є кібершпигунство. Дослідники ESET вважають, що їх метою є викрадення конфіденційної інформації у своїх жертв.
Bahamut також називають групою найманців, яка надає послуги здійснення атак широкому колу клієнтів. Назву Bahamut, що є величезною рибою у Аравійському морі, кіберзлочинцям дала група журналістських розслідувань Bellingcat.
Щоб не стати жертвою подібних загроз, варто дотримуватись базових правил кібербезпеки, зокрема завантажувати додатки тільки з офіційних магазинів, контролювати надання їм дозволів, а також подбати про захист мобільного пристрою за допомогою надійної програми, яка вчасно виявить та знешкодить небезпечний додаток.
Про компанію:
ESET – експерт у сфері захисту від кіберзлочинності та цифрових загроз, міжнародний розробник рішень з ІТ-безпеки, провідний постачальник у галузі створення технологій виявлення загроз. Заснована у 1992 році, компанія ESET сьогодні має розширену партнерську мережу й представництва в більш ніж 180 країнах світу. Головний офіс компанії знаходиться у Братиславі, Словаччина.
