29/10/21
Ряд на первый взгляд безобидных Android-приложений заражают устройства израильских пользователей шпионским ПО еще с 2018 года. По словам обнаруживших приложения специалистов компании Qihoo 360, в настоящее время вредоносная кампания все еще продолжается.
Вредоносные приложения маскируются под Threema, Al-Aqsa Radio, Al-Aqsa Mosque, Jerusalem Guide, просмотр PDF, Wire и пр. Самой агрессивной является подделка защищенного мессенджера Threema.
По мнению исследователей, приложения попадают на устройства жертв через публикации в Facebook или сообщения в WhatsApp, направляющие пользователей на web-сайты, предлагающие загрузить APK. В некоторых случаях сообщения содержат ссылки на Google Диск, где якобы хранится важный засекреченный PDF-документ. Жертву убеждают загрузить шпионское ПО под видом мобильной версии Adobe Reader.
В ходе вредоносной кампании злоумышленники использовали разные типовые вредоносные программы, в частности SpyNote, Mobihok, WH-RAT и 888RAT. Все они представляют собой коммерческое шпионское ПО, способное извлекать файлы, записывать звонки, отслеживать местоположение, записывать нажатия клавиш, захватывать фото и видео, управлять буфером обмена, выполнять команды оболочки.
В некоторых случаях в APK были обнаружены Metasploit и EsecretRAT. В обоих случаях злоумышленники реализовали дополнительный кастомный код поверх инструментов с открытым исходным кодом.
EsecretRAT базируется на приложении ChatApp и представляет собой шпионское ПО, способное извлекать списки контактов, SMS-сообщения, IMEI, данные о местоположении, IP-адреса и фотографии.
По мнению специалистов Qihoo 360, за вредоносной кампанией стоит группировка APT-C-23, связанная с ХАМАС. В октябре 2020 года было обнаружено, что группировка использовала шпионское ПО для Android, замаскированное под Threema и Telegram, в атаках на пользователей в Израиль.
