Злоумышленник, известный своими атаками на цели на Ближнем Востоке, в очередной раз усовершенствовал свое шпионское ПО для Android и расширил его возможности, сделав его более скрытным и стойким, одновременно скрывая себя с помощью, казалось бы, безобидных обновлений приложений.
В отчетах указывается, что новый вариант шпионского ПО добавил к своим вредоносным приложениям новые функции, чтобы сделать их более устойчивыми к действиям пользователей, которые могут попытаться удалить их вручную, в то время как компании, занимающиеся безопасностью и веб-хостингом, пытаются их заблокировать. доступ к домену сервера или его отключение.
Мобильное шпионское ПО, также известное как VAMP, FrozenCell, GnatSpy и Desert Skorpion, было предпочтительным инструментом для группы угроз APT-C-23, по крайней мере, с 2017 года, при этом продолжаются итерации с расширенными возможностями наблюдения за файлами, изображениями, контактами, и запись звонков, чтение уведомлений из приложения «Сообщения», запись звонков (включая WhatsApp) и отклонение уведомлений из встроенного приложения безопасности Android.
В прошлом вредоносное ПО распространялось через поддельные магазины приложений для Android под названиями AndroidUpdate, Threema и Telegram. Последняя кампания не является исключением: они принимают форму приложений, утверждающих, что они устанавливают обновления на целевые телефоны, с такими названиями, как App Update, System App Update и Android Update Smart. Понятно, что злоумышленники доставляют шпионское ПО, отправляя целевым ссылкам для загрузки через фишинговые сообщения.
Шпионское ПО представляет собой растущую угрозу. Шпионское ПО для Android, связанное с APT-C-23, существует уже как минимум четыре года, и злоумышленники продолжают разрабатывать его, используя новые методы, позволяющие избежать обнаружения и удаления.
Оригинальная статья Лиона, при воспроизведении просьба указывать: https://cncso.com/ru/хакерская-группа-apt-c-23-использует-новое-ш-2