Шпионские приложения для Android нацелены на Израиль в рамках трехлетней кампании

42
Как запускать приложения и игры для Android в Linux

Набор, казалось бы, безобидных приложений для Android заражает израильских пользователей шпионским ПО с 2018 года, и кампания продолжается по сей день.

Приложения, содержащие шпионское ПО, были обнаружены исследователями Qihoo 360, которые обнаружили различные приложения, замаскированные под социальные приложения, Threema, Al-Aqsa Radio, Al-Aqsa Mosque, Jerusalem Guide, PDF-viewer, Wire и другие приложения.

Больше всего злоупотребляют приложением, которое выдает себя за Threema, приложение для обмена мгновенными сообщениями с сквозным шифрованием.

Исследователи полагают, что исходным вектором для этих приложений является сообщение в Facebook или WhatsApp, которое указывает жертвам на веб-сайт, на котором размещен APK, и предлагает его для загрузки.

В некоторых случаях сообщения содержат ссылку Google Диска на предположительно важный секретный документ PDF.

Затем целевой цели предлагается загрузить APK, который выдает себя за мобильную версию Adobe Reader, но на самом деле является шпионским ПО.

Обширный набор шпионского ПО

Исследователи проанализировали различные образцы и обнаружили, что злоумышленники используют для этих атак широкий спектр различных массовых вредоносных программ, включая SpyNote, Mobihok, WH-RAT и 888RAT.

Все это коммерческое шпионское ПО с мощным функционалом, в том числе:

  • эксфильтрация файлов
  • запись разговоров
  • отслеживание местоположения
  • кейлоггинг
  • фото- и видеосъемка
  • запись в реальном времени
  • управление буфером обмена
  • фишинг
  • выполнение команд оболочки

В меньшем количестве случаев в APK-файлах были обнаружены Metasploit и EsecretRAT. В обоих случаях участники реализовали дополнительный пользовательский код поверх инструментов с открытым исходным кодом. 

EsecretRAT основан на ChatApp и представляет собой новый инструмент шпионского ПО, способный извлекать списки контактов, SMS, IMEI, информацию о местоположении, IP-адрес и все фотографии, хранящиеся на устройстве. 

Признаки хакеров ХАМАС

Qihoo 360 считает, что за атаками стоит группа «APT-C-23», поддерживаемая Хамасом, и ее неоднократно связывали с прошлыми кампаниями по нацеливанию на Израиль.

В октябре 2020 года они были раскрыты за использование шпионского ПО Android, замаскированного под Threema и Telegram, против устройств в Израиле.

Несколькими месяцами ранее они заманили израильских солдат с помощью специальных шпионских приложений, которые выглядели как настоящие приложения для знакомств.

Для этой кампании, которая длится три года, исследователи отмечают, что атрибуция может быть тонкой, но сходство с предыдущими кампаниями APT-C-23 сильное.

Если вы загрузили Threema, Telegram, программу просмотра PDF, Радио Аль-Акса, Мечеть Аль-Акса и Путеводитель по Иерусалиму с любого сайта, кроме Google Play Store, рекомендуется немедленно удалить приложение и просканировать устройство с помощью антивируса. программа.

Последнее обновление 9 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии