17/11/21
Пакистанская хакерская группировка создала и управляла поддельным магазином Android-приложений с целью заражения вредоносным ПО устройства лиц, связанных с бывшим правительством Афганистана до и во время его свержения Талибаном.
Согласно новому отчету специалистов Facebook, хакерская операция проводилась с апреля по август нынешнего года группировкой SideCopy. Злоумышленники зарегистрировали в Facebook поддельные профили и, выдавая себя за молодых девушек, связывались с намеченными жертвами с целью убедить их нажать на вредоносную ссылку.
Нажав на ссылку, жертва попадала на фишинговый сайт, похищающий учетные данные, а в некоторых случаях – в поддельный магазины Android-приложений, которые были заражены вредоносным ПО. Как правило, злоумышленники выдавали эти приложения за известные (Viber, Signal и пр.) или новые мессенджеры (HappyChat, HangOn, ChatOut, TrendBanter, SmartSnap и TeleChat).
Зараженные приложения содержали троян для удаленного доступа (RAT) PJobRAT или ранее неизвестное вредоносное ПО для Android, которое специалисты Facebook назвали Mayhem. Оба вредоноса обеспечивали SideCopy полный контроль над зараженными устройствами.
Согласно отчету, помимо SideCopy в октябре нынешнего года специалисты Facebook сорвали операции еще трех хакерских группировок, связанных с правительством Сирии и атаковавших в основном лиц и активистов, выступающих против режима Асада:
Syrian Electronic Army – атаковала защитников прав человека, журналистов и других противников правящего режима;
APT-C-37 – атаковала лиц, связанных со Свободной сирийской армией, и бывших военных, примкнувших к силам оппозиции;
Unnamed group – атаковала группы национальных меньшинств, активистов, курдских журналистов, представителей оппозиции, членов Отрядов народной самообороны (YPG) и «Белых касок».
Эксперты Facebook официально связали первые две группы с двумя отдельными подразделениями Воздушных разведывательных сил Сирии – одной из главных спецслужб страны.
С целью срыва операций пакистанских и сирийских хакеров Facebook заблокировала их учетные записи и отключила возможность публикации на своей платформе ссылок на их домены, а также уведомила жертв и передала всю полученную информацию об атаках правоохранительным органам и исследователям безопасности.
