Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Шпионское ПО уже три года атакует пользователей Android-устройств в Израиле

29/10/21

androhack3-Oct-29-2021-08-59-08-00-AMРяд на первый взгляд безобидных Android-приложений заражают устройства израильских пользователей шпионским ПО еще с 2018 года. По словам обнаруживших приложения специалистов компании Qihoo 360, в настоящее время вредоносная кампания все еще продолжается.

Вредоносные приложения маскируются под Threema, Al-Aqsa Radio, Al-Aqsa Mosque, Jerusalem Guide, просмотр PDF, Wire и пр. Самой агрессивной является подделка защищенного мессенджера Threema.

По мнению исследователей, приложения попадают на устройства жертв через публикации в Facebook или сообщения в WhatsApp, направляющие пользователей на web-сайты, предлагающие загрузить APK. В некоторых случаях сообщения содержат ссылки на Google Диск, где якобы хранится важный засекреченный PDF-документ. Жертву убеждают загрузить шпионское ПО под видом мобильной версии Adobe Reader.

В ходе вредоносной кампании злоумышленники использовали разные типовые вредоносные программы, в частности SpyNote, Mobihok, WH-RAT и 888RAT. Все они представляют собой коммерческое шпионское ПО, способное извлекать файлы, записывать звонки, отслеживать местоположение, записывать нажатия клавиш, захватывать фото и видео, управлять буфером обмена, выполнять команды оболочки.

В некоторых случаях в APK были обнаружены Metasploit и EsecretRAT. В обоих случаях злоумышленники реализовали дополнительный кастомный код поверх инструментов с открытым исходным кодом.

EsecretRAT базируется на приложении ChatApp и представляет собой шпионское ПО, способное извлекать списки контактов, SMS-сообщения, IMEI, данные о местоположении, IP-адреса и фотографии.

По мнению специалистов Qihoo 360, за вредоносной кампанией стоит группировка APT-C-23, связанная с ХАМАС. В октябре 2020 года было обнаружено, что группировка использовала шпионское ПО для Android, замаскированное под Threema и Telegram, в атаках на пользователей в Израиль.

Темы:AndroidПреступленияфальшивые приложенияQihoo 360Киберугрозы
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...