Нова шпигунська програма для Android викрадає повідомлення користувачів
Як працює шпигунська програма?
«Функціонал шкідливого програмного забезпечення дозволяє відстежувати дані, які вводить користувач. При цьому шкідлива програма несанкціоновано використовує сервіси спеціальних можливостей. Атаки здійснюються цілеспрямовано, оскільки ми не зафіксували зразків серед даних телеметрії ESET, — пояснює Лукаш Штефанко, дослідник компанії ESET. — Крім того, програма надсилає запит на отримання ключа активації, перш ніж увімкнути VPN та функцію для шпигунства. Ключ активації та посилання на сайт, ймовірно, надсилаються користувачам цілеспрямовано».
Таким чином кіберзлочинці намагаються запобігти спрацюванню шкідливого компонента відразу після запуску на нецільовому пристрої користувача або під час аналізу. Дослідники ESET уже фіксували, як подібний захист використовувався під час інших атак групи Bahamut.
Усі перехоплені дані зберігаються у локальній базі даних, а потім надсилаються на командний сервер (C&C). Функціонал шпигунського програмного забезпечення дозволяє оновлювати програму, отримуючи посилання на нову версію від командного сервера.
Якщо шпигунську програму увімкнено, зловмисники можуть дистанційно управляти нею та викрадати різні конфіденційні дані, такі як контакти, SMS-повідомлення, журнали викликів, список встановлених програм, місцезнаходження пристрою, облікові записи, інформацію про пристрій (тип підключення до Інтернету, IMEI, IP, серійний номер SIM-карти), записані телефонні дзвінки та список файлів у зовнішній пам’яті.
Використовуючи сервіси спеціальних можливостей, шкідливе програмне забезпечення може викрадати нотатки з програми SafeNotes та шпигувати за повідомленнями та інформацією про дзвінки з популярних месенджерів, таких як Facebook Messenger, Viber, Signal, WhatsApp, Telegram, WeChat, додатки Conion та imo-International Calls & Chat.
Що відомо про групу кіберзлочинців Bahamut?
Група Bahamut зазвичай використовує повідомлення та підроблені програми як початковий вектор атаки на юридичних та окремих осіб на Близькому Сході та у Південній Азії. Основним видом діяльності цієї групи зловмисників є кібершпигунство. Дослідники ESET вважають, що їх метою є викрадення конфіденційної інформації у своїх жертв.
Bahamut також називають групою найманців, яка надає послуги здійснення атак широкому колу клієнтів. Назву Bahamut, що є величезною рибою у Аравійському морі, кіберзлочинцям дала група журналістських розслідувань Bellingcat.
Щоб не стати жертвою подібних загроз, варто дотримуватись базових правил кібербезпеки, зокрема завантажувати додатки тільки з офіційних магазинів, контролювати надання їм дозволів, а також подбати про захист мобільного пристрою за допомогою надійної програми, яка вчасно виявить та знешкодить небезпечний додаток.