Програма маскується під Telegram: Фахівці попереджають про нову шпигунську кіберзагрозу

Фахівці міжнародного розробника антивірусного програмного забезпечення, експерта в області кіберзахисту - компанії ESET розповіли про нову шпигунську програму для операційної системи Android, яка маскується під меседжер Telegram і викрадає персональні дані користувачів. Про це повідомляється на сайті компанії ESET, передають Патріоти України.

"Компанія ESET - лідер в області інформаційної безпеки - проаналізувала нову версію шпигунської програми для Android, яка використовується групою APT-C-23. Зловмисники активні мінімум з 2017 року, а їх атаки в основному спрямовані на Близький Схід", - йдеться в повідомленні.

За даними ESET, нове шпигунське програмне забезпечення (ПЗ), яке продукти ESET виявляють як Android/SpyC23.A, створено на основі раніше зафіксованих версій шкідливої програми з розширеними функціями шпигунства, новими можливостями маскування та оновленим з'єднанням з командним сервером (C&C). Одним зі способів поширення загрози є підроблений магазин додатків для Android, де шкідлива програма видає себе за відомі месенджери, такі як Threema і Telegram.

Фахівці ESET почали досліджувати цю загрозу після повідомлення їх колеги в Twitter у квітні 2020 року про невідомий зразок шкідливого ПЗ для Android.

"Спільний аналіз показав, що ця шкідлива програма була частиною арсеналу APT-C-23 — нової, вдосконаленої версії їх шпигунського програмного забезпечення для мобільних пристроїв", — наводяться в повідомленні слова дослідника ESET Лукаша Штефанко.

Також експерти з кібербезпеки виявили, що шпигунські програми видають себе за легітимні додатки в підробленому магазині для Android.

"У фальшивому магазині ми виявили як шкідливі, так і безпечні об'єкти. У більшості випадків, після завантаження шкідливого програмного забезпечення, користувачам пропонується встановити легітимний додаток, який використовується як приманка (наприклад, Threema). Під час його завантаження шкідлива програма приховує свою присутність на зараженому пристрої. Таким чином, користувачі отримують бажаний додаток і шпигунську програму, яка непомітно працює у фоновому режимі. У деяких випадках завантажені додатки (наприклад, WeMessage, AndroidUpdate) не мали реального функціоналу і були тільки приманкою для завантаження шпигунського ПЗ", — цитують в компанії ESET Штефанко.

Після завантаження на пристрій, як додають в ESET, шкідлива програма відправляє запит користувачеві на отримання ряду важливих дозволів, замаскованих під функції безпеки та конфіденційності.

"Зловмисники використовують методи соціальної інженерії, щоб обманом змусити жертв надати шкідливому ПЗ різні права. Наприклад, дозвіл на читання повідомлень маскується під функцію шифрування повідомлень", — уточнюють в компанії.

Так, за даними експертів з кібербезпеки, шкідливе програмне забезпечення може виконувати ряд шпигунських дій на основі команд з сервера C&C. Крім запису звуку, викрадення журналів викликів, SMS, контактів і файлів, оновлена загроза Android/SpyC23.A може читати сповіщення з додатків для обміну повідомленнями, робити записи екрану і дзвінків, а також відхиляти повідомлення з деяких вбудованих додатків для безпеки Android.

Щоб захистити себе від шпигунської програми, фахівці ESET радять користувачам Android встановлювати додатки тільки з офіційного магазину Google Play, двічі перевіряти надані дозволи, а також використовувати надійне і сучасне рішення для захисту мобільних пристроїв.