Компания ESET проанализировала новую версию шпионской программы для Android, которая используется группой APT-C-23. Злоумышленники активны минимум с 2017 года, а их атаки в основном направлены на Ближний Восток.

Новое шпионское ПО, которое продукты ESET обнаруживают как Android/SpyC23.A, создано на основе ранее зафиксированных версий вредоносной программы с расширенными функциями шпионажа, новыми возможностями маскирования и обновленным соединением с командным сервером (C&C). Одним из способов распространения угрозы является поддельный магазин приложений для Android, где вредоносная программа выдает себя за известные мессенджеры, такие как Threema и Telegram.

Исследователи ESET начали исследовать эту угрозу после сообщения их коллеги в Twitter в апреле 2020 года о неизвестном образце вредоносного ПО для Android. «Совместный анализ показал, что эта вредоносная программа была частью арсенала APT-C-23 — новой, усовершенствованной версии их шпионского программного обеспечения для мобильных устройств», — объясняет Лукаш Штефанко, исследователь ESET.

Также было обнаружено, что шпионские программы выдают себя за легитимные приложения в поддельном магазине для Android. «В фальшивом магазине мы обнаружили как вредоносные, так и безопасные объекты. В большинстве случаев после загрузки вредоносного ПО пользователям предлагается установить легитимное приложение, которое используется как приманка (например, Threema). Во время его загрузки вредоносная программа скрывает свое присутствие на зараженном устройстве. Таким образом пользователи получают желаемое приложение и шпионскую программу, которая незаметно работает в фоновом режиме. В некоторых случаях загруженные приложения (например, WeMessage, AndroidUpdate) не имели реального функционала и были только приманкой для загрузки шпионского ПО», — комментирует Лукаш Штефанко.

После загрузки на устройство вредоносная программа отправляет запрос пользователю на получение ряда важных разрешений, замаскированных под функции безопасности и конфиденциальности. «Злоумышленники используют методы социальной инженерии, чтобы обманом заставить жертв предоставить вредоносному ПО разные права. Например, разрешение на чтение уведомлений маскируется под функцию шифрования сообщений», — уточняет исследователь.

Вредоносное ПО может выполнять ряд шпионских действий на основе команд с сервера C&C. Кроме записи звука, похищения журналов вызовов, SMS, контактов и файлов, обновленная угроза Android/SpyC23.A может читать оповещения из приложений для обмена сообщениями, делать записи экрана и звонков, а также отклонять сообщения с некоторых встроенных приложений для безопасности Android.

Как известно, группа APT-C-23 использовала в своей работе компоненты Windows и Android, причем компоненты для Android впервые были описаны в 2017 году. С тех пор были опубликованы многочисленные исследования вредоносного ПО APT-C-23 для мобильных устройств. Последняя версия шпионской программы содержит несколько усовершенствований, которые делают ее еще более опасной для пользователей.

«Чтобы защитить себя от шпионской программы, мы советуем пользователям Android устанавливать приложения только из официального магазина Google Play, дважды проверять предоставления разрешений, а также использовать надежное и современное решение для защиты мобильных устройств», — делает вывод Лукаш Штефанко.