12/11/21
ИБ-специалисты из компании Zimperium обнаружили текущую вредоносную кампанию, в ходе которой киберпреступники используют шпионское ПО PhoneSpy для отслеживания жителей Южной Кореи. PhoneSpy маскируется под Android-приложения с целью кражи конфиденциальной информации, шпионажа и получения удаленного доступа к устройствам.
Zimperium не связала шпионское ПО с какой-то конкретной киберпреступной группировкой.
«Доказательства, связанные с PhoneSpy, показывают знакомую структуру, которая передавалась годами, обновлялась отдельными лицами и распространялась в частных сообществах и обратных каналах, пока не была собрана в то, что мы видим в этом варианте сегодня», — пояснили эксперты.
Мошеннические приложения маскируются под безобидные утилиты для изучения йоги и просмотра фотографий. Кроме того, вредоносное ПО не зависит от магазина приложений Google Play Store или неофициальных торговых площадок приложений, подразумевая использование хакерами социальной инженерии или метода перенаправления web-трафика.
После установки приложение запрашивает широкий спектр разрешений и затем открывает фишинговый сайт, замаскированный под страницу авторизации в такие популярные приложения, как Facebook, Instagram, Google и Kakao Talk. Пользователи, которые пытаются войти в систему, видят сообщение HTTP 404 Not Found, но на самом деле их учетные данные отправляются на удаленный C&C-сервер.
PhoneSpy позволяет злоумышленникам получить доступ к камере устройства, делать снимки, записывать видео и аудио, получать точное местоположение по GPS, просматривать изображения, а также похищать SMS-сообщения, контакты, журналы вызовов и даже отправлять SMS-сообщения на телефон злоумышленников.
