Поддельные версии Threema, Telegram и WeMessage содержат шпионскую малварь

Поддельные версии Threema, Telegram и WeMessage содержат шпионскую малварь

Добавлено в закладки: 0

Эксперты компании ESET предупреждают, что хак-группа APT-C-23 (она же Desert Scorpion, Desert Falcon, Arid Viper), известная своими атаками на Ближнем Востоке, а также атаками на военные и образовательные учреждения как минимум с 2017 года, распространяет новое шпионское ПО для Android, маскируя его под фальшивые приложения Threema, Telegram, WeMessage и так далее.

Еще в апреле 2020 года ИБ-эксперты MalwareHunterTeam сообщили о шпионском ПО для Android, у которого был очень низкий уровень обнаружения на VirusTotal. Изучив этот образец, исследователи ESET пришли к выводу, что он является частью арсенала группировки APT-C-23.

Поддельные версии Threema, Telegram и WeMessage содержат шпионскую малварь 2

Спустя примерно два месяца, в июне текущего года, MalwareHunterTeam нашли еще один образец той же малвари, который скрывался в установочном файле мессенджера Telegram, доступного в неофициальном магазине приложений DigitalApps. Проведенное экспертами ESET расследование показало, что это было не единственное опасное приложение.

Аналитики ESET пишут, что по сравнению с версиями Android/SpyC23, задокументированными в 2017 году, новая версия имеет расширенные шпионские функции, в том числе может читать уведомления мессенджеров и приложений социальных сетей (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber и так далее), записывать входящие и исходящие звонки, а также происходящее на экране, отключать уведомления встроенных инструментов безопасности Android. Последнее касается уведомлений от SecurityLogAgent на устройствах Samsung (securitylogagent); уведомления безопасности от MIUI на устройствах Xiaomi (com.miui.securitycenter); а также от Phone Manager на девайсах Huawei (huawei.systemmanager).

Также специалисты напоминают, что Android/SpyC23 давно умеет делать на зараженном устройстве фото и записывать аудио, похищать журнал вызов, список контактов, скачивать и удалять файлы определенными расширениями (pdf, doc, docx, ppt, pptx, xls, xlsx, txt, text, jpg, jpeg, png), а также приложения, и обладает рядом других опасных функций.

Читайте также:   Порошенко - циничный и лживый экс-правитель всея Украины

Заражение устройств новой малварью происходит в том случае, если жертвы посещают неофициальный магазин приложений DigitalApps и загружают оттуда такие приложения, как Telegram, Threema, WeMessage, AndroidUpdate и так далее, которые используются в качестве приманки. При этом специалисты ESET считают, что DigitalApps — это лишь один из векторов распространения малвари, поскольку ранее исследователи уже находили другие приложения, которые не были доступны в этом магазине, но тоже содержали аналогичные вредоносы.

Источник

Автор публикации

не в сети 18 часов

Андрей Маргулис

Поддельные версии Threema, Telegram и WeMessage содержат шпионскую малварь 427
С организацией DDoS атак завязал.
Выкладываю новости технологий и интересные статьи с темной стороны интернета.
flagТунис.
29 лет
День рождения: 14 Мая 1991
Комментарии: 523Публикации: 1606Регистрация: 12-12-2015

Другие записи этого автора:

РЭНБИ
Добавить комментарий
Войти с помощью: 
Хроники коронавируса COVID-19
Авторизация
*
*
Войти с помощью: 
Регистрация
*
*
*
Ваш день рождения * :
Число, месяц и год:
Отображать дату:
Войти с помощью: 
Генерация пароля