Egy androidos kémprogram új verzióját kezdték vizsgálni az ESET kutatói, amely mögött az APT-C-23 nevű, 2017 óta főként a Közel-Keleten aktív, hírhedt bűnözői csoport áll. Az ESET szakemberei akkor kezdtek el nyomozni a rosszindulatú szoftver után, amikor az egyik kutató Twitteren beszámolt egy addig ismeretlen androidos kártevőről, még 2020 áprilisában. "Közös elemzésünk során kiderült, hogy ez a kártékony szoftver az APT-C-23 fegyvertárának része: a mobilos kártevőjük egy új, továbbfejlesztett verziója" – magyarázta Lukáš Štefanko, az ESET kutatója, aki behatóan tanulmányozta az Android/SpyC23.A-t.

A kémprogram a korábbi verziókhoz képest kiszélesített kémtevékenységgel, új lopakodó funkciókkal rendelkezik, illetve új módon kommunikál a központi szerverével. Egyik terjeszkedési útvonala az Android hamisított alkalmazásáruházán keresztül vezet: a felhasználók átverése érdekében jól ismert üzenetküldő appoknak álcázza magát. "Amikor megvizsgáltuk a Google Play áruháznak látszó hamis boltot, kártékony és tiszta elemeket is találtunk benne. A rosszindulatú szoftver olyan alkalmazásokban rejtőzött el, mint az AndroidUpdate, a Threema és a Telegram. Néhány esetben az áldozatok egyszerre töltötték le a kártékony szoftvert és az álcázásra használt appot” – tette hozzá Štefanko.

ESET

A letöltés után a kártevő egy sor bizalmas jellegű engedélyt kér, amiket biztonsági funkciónak álcáz. Az elemzők szerint a támadók megtévesztéssel vették rá az áldozatokat arra, hogy különféle bizalmas engedélyeket is megadjanak a rosszindulatú szoftvernek. Például az értesítések elolvasásához kért engedélyt üzenettitkosítási funkciónak álcázták.

Az engedélyezés után a kártevő többféle kémtevékenységet végez, követve a vezérlőszervertől (C&C) kapott távoli utasításokat. A hangrögzítésen, a hívásnaplók, SMS-ek és névjegyek szűrésén, illetve a fájlok ellopásán túl a megújított Android/SpyC23.A az üzenetküldő alkalmazások értesítéseit is el tudja olvasni, telefonhívásokat rögzít és visszautasíthat olyan értesítéseket, amik az Android beépített biztonsági alkalmazásaitól érkeznek.

Az ESET szakemberei azt tanácsolják az Android-felhasználóknak, hogy a kémprogramokkal szembeni biztonságuk megőrzése érdekében csak és kizárólag az eredeti, hivatalos Google Play áruházból töltsenek le alkalmazásokat, alaposan ellenőrizzék az engedélykéréseket, és használjanak megbízható, naprakész mobilos biztonsági megoldást.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.