Ausgefeilte APT-Überwachungs-Malware kommt dazu Google Play

Ausgefeilte APT-Überwachungs-Malware kommt zu Google PlayEnlargeportal gda / Flickr

Hacker drängen kürzlich auf nationalstaatliche Überwachungs-Malware erzielte einen großen Coup, indem er drei fortgeschrittene böswillige bekam Anwendungen, die auf dem offiziellen Google Play-Marktplatz gehostet werden, Forscher sagten. Google hat die Apps nach Erhalt entfernt Benachrichtigung über ihre Anwesenheit.

Die mAPTs, kurz für Mobile Advanced Persistent Threats, sind wahrscheinlich kamen aus zwei getrennten Gruppen, die beide auf Menschen in der Mitte abzielen East, Michael Flossman, Leiter der Abteilung für Bedrohungsinformationen bei Mobile Sicherheitsunternehmen Lookout, sagte Ars. Die drei Apps kombiniert hat laut Google Play etwa 650 bis 1.250 Downloads erhalten zahlen. Alle drei gaben Angreifern beträchtliche Kontrolle über infizierte Telefone.

Die Apps – zwei aus einer Familie namens ViperRat und die dritte aus Die Wüstenskorpion-Familie – repräsentiert eine der wenigen bekannten Zeiten mAPTs wurden im offiziellen Google-Markt gefunden. Die Angreifer Erfolg ist größtenteils das Ergebnis eines modularen Aufbaus, bei dem böswillig vorgegangen wird Funktionalität ist nicht Teil der ersten heruntergeladenen Version aus dem Play Store. Vielmehr kommen die Überwachungsmöglichkeiten ins Spiel eine zweite Stufe, die später heruntergeladen wird. Zuvor beide Hacker Gruppen verließen sich weitgehend auf Social Engineering, das Ziele ausgetrickst hatte in das Herunterladen von Apps von Drittanbietermärkten. Die Fähigkeit zu bekommen Die in Play gehosteten Apps gelten als Gewinn, weil es gibt zielt auf viel mehr Sicherheit, dass die Apps legitim sind.

“Die Existenz von ViperRAT und Desert Scorpion bei Google Play zeigt, dass Schauspieler weiterhin ihre Malware “optimieren”, um sie zu erhalten Früherkennungen hinter sich lassen und in die Erstanbieter-App verwandeln Geschäfte “, schrieb Flossman in einer E-Mail.” Diese Techniken gehören nicht Versand der bösartigen Funktionalität einer App bis zur zweiten Stufe das wird durch ein bestimmtes Verhalten ausgelöst. Surveillanceware ist in der Lage versteckt seine bösartige Funktionalität im Lärm von sozialen Netzwerken und Chat-Apps, weil sie viele davon anfordern Berechtigungen. ”

Für alle Ihre Überwachungsbedürfnisse

Desert Scorpion wurde in einer App mit dem Titel Dardesh ausgeliefert, die wurde ungefähr 100 mal heruntergeladen. Es bietet eine vollständige Reihe von Überwachungsfunktionen, einschließlich der folgenden Funktionen:

  • Laden Sie vom Angreifer angegebene Dateien hoch, um sie zu befehlen und zu steuern Server
  • Nehmen Sie Umgebungsgeräusche, Anrufe und Videos auf
  • Abrufen von Kontoinformationen wie E-Mail-Adressen
  • Kontakte abrufen
  • Entfernen Sie Kopien von sich selbst, wenn zusätzliche APKs heruntergeladen werden auf externen Speicher
  • Rufen Sie eine vom Angreifer angegebene Nummer an
  • Apps deinstallieren
  • Symbol ausblenden
  • Rufen Sie eine Liste der Dateien auf dem externen Speicher ab
  • Verschlüsseln Sie einige exfiltrierte Daten
  • Rufen Sie eine Liste der installierten Anwendungen ab
  • Holen Sie sich Geräte-Metadaten
  • Untersuchen Sie sich selbst, um eine Liste der startfähigen Aktivitäten zu erhalten
  • Abrufen von PDF-, TXT-, Doc-, XLS-, XLSX-, PPT- und PPPTX-Dateien im externen Speicher gefunden
  • SMS senden
  • Abrufen von Kurzmitteilungen
  • Verfolgen Sie den Gerätestandort
  • Behandeln Sie begrenzte Angreifer-Befehle über bandexternen Text Mitteilungen
  • Überprüfen Sie, ob ein Gerät gerootet ist
  • Versuchen Sie, sich der geschützten Liste der Apps hinzuzufügen, die ausgeführt werden können bei ausgeschaltetem Bildschirm auf einem Huawei-Gerät

EnlargeLookout

Desert Scorpion hat Verbindungen zu einer anderen gezielten Überwachungsware Familie, genannt Frozen Cell. Aussichtsforscher glauben beides Familien werden von einer einzigen Gruppe aufgebaut oder zumindest geführt bekannt als APT-C-23. Desert Scorpion wird zum Zielen verwendet Einzelpersonen im Nahen Osten, insbesondere in Palästina Region.

Lookout beobachtete, wie Dardesh zwei Updates erhielt, das erste am 26. Februar und der zweite am 28. März. Die zweite Stufe von Dardesh kam in Form einer Anwendung für allgemeine Einstellungen. Es umfasste die Das Wort “Fateh” bezieht sich nach Ansicht von Lookout auf die Fatah Palästinensische politische Partei. Lookout’s Blogpost über Desert Scorpion ist da.

Die ViperRat-Malware wurde über VokaChat und Chattak verbreitet. die von 500 bis 1.000 Downloads und 50 bis 100 Downloads erhalten, beziehungsweise. Eine frühere ViperRat – Kampagne richtete sich an Mitglieder der Israelische Verteidigungsstreitkräfte mit Apps, die auf Märkten von Drittanbietern veröffentlicht werden. Angreifer, die sich als attraktive Frauen ausgeben, würden sich individuell anfreunden Ziele und versuchen Sie schließlich, sie zum Herunterladen zu verleiten Trojanisierte Chat-Apps. Im Gegensatz zu den Chat-Apps von früheren ViperRat Kampagnen, VokaChat und Chattak enthielten voll funktionsfähigen Chat Fähigkeiten, eine Eigenschaft, die es weniger wahrscheinlich machte, dass Ziele würden vermuten, dass sie Malware installiert hatten.

EnlargeLookoutEnlargeLookout

Chattak enthielt entweder eine Funktion oder einen Fehler – Lookout ist sich nicht sicher was es ist – dass offenbarte E-Mail-Adressen und andere Details von Einige Benutzer mit anderen Benutzern. Viele der vorgeschlagenen E-Mail-Adressen Die Ziele hatten Verbindungen zu Saudi-Arabien, aber Lookout ist sich nicht sicher, ob diese Beziehungen bestehen Die Adressen stammten von Personen, die die Malware tatsächlich installiert hatten.

Die drei Apps signalisieren eine wachsende Bedrohung für Android-Nutzer Aufgrund des Vertrauens, das viele Menschen in Google Play setzen Markt.

“Eine bösartige App, die von Google Play heruntergeladen werden kann Speicher ist extrem gefährlich, da Benutzer nicht zweimal darüber nachdenken Download wegen ihres Vertrauens in Google “, schrieb Flossman Ein Blogeintrag am Montagmorgen, in dem ViperRat ausführlich beschrieben wird. “Das ist alarmierend uns, weil als Angreifer immer wieder neue Wege finden, hinzuzufügen Legitimität für ihre bösartigen Apps, werden ihre Phishing-Angriffe erfolgreicher werden. ”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: