נוזקת ריגול חדשה לאנדרואיד משתמשת בטלגרם כפיתיון

חוקרי חברת אבטחת המידע ESET איתרו וחקרו גרסה חדשה של נוזקת ריגול לאנדרואיד המשתמשת את קבוצת התקיפה APT-C-23, הפעילה מאז 2017 ומתמקדת בעיקר במזרח התיכון. הנוזקה החדשה מבוססת על גרסאות שכבר דווחו בעבר עם פונקציונאליות ריגול מורחבת, פיצ'רים חדשים להתגנבות ותקשורת C&C מעודכנת. אחת הדרכים להפצת הנוזקה היא באמצעות חנות אפליקציות מזויפת של Android המתחזה לאפליקציות ידועות כמו טלגרם ו-Threema כפיתיון.

המחקר החל כשחוקר עמית צייץ על דגימה של תוכנה זדונית באפריל 2020. לוקאש סטפנקו, חוקר ESET מסביר כי "בניתוח משותף עלה כי הנוזקה הזו היא חלק מארגז הכלים של קבוצת APT-C-23 והיא למעשה גרסה משופרת של נוזקת הריגול הניידת שלהם.

הדרך להפצת הנוזקה היתה באמצעות התחזות לאפליקציות מוכרות בחנות אפליקציות מזויפת של אנדרואיד ובמקרים מסוימים הקורבנות יתקינו גם את הנוזקה וגם עם האפליקציה המזויפת.

חנות האפליקציות המזויפת המשמשת את קבוצת התקיפה

לאחר ההתקנה, הנוזקה מבקשת סדרת הרשאות רגישות בהסוואה לתוכנות אבטחה ופרטיות. התוקפים השתמשו בטכניקות דומות להנדסה חברתית כדי להערים על הקורנות ולאשר הרשאות רגישות שונות. דוגמה לכך היא הרשאה לקריאת התראות תחת הסוואה של הצפנת הודעות.

לאחר שהושלמה ההתקנה, התוכנה הזדונית יכולה לבצע מגוון פעילויות ריגול על סמך פקודות משרת ה-C&C שלה. בנוסף להקלטת אודיו, גישה ליומני שיחות, הודעות, אנשי קשר וגניבת קבצים, הנוזקה יכולה גם לקרוא התראות מאפליקציות, לבצע הקלטת שיחות וצילומי המסך ואפילו לבטל התראות מאפליקציות אבטחה מובנות של אנדרואיד.

קבוצת התקיפה APT-C-23 ידועה כמשתמשת ברכיבי Windows ואנדרואיד כבר משנת 2017. מאז פורסמו ניתוחים מרובים של תוכנות זדוניות של הקבוצה, אך הגרסה האחרונה כוללת מספר שיפורים שהופכים אותה למסוכנת אפילו יותר עבור הקורבנות.

כיצד ניתן להישאר בטוחים מפני נוזקות ריגול?

1. משתמשי אנדרואיד, הורידו והתקינו רק אפליקציות מהחנות הרשמית Google Play

2. בידקו הרשאות שכל אפליקציה מבקשת מכם

3. השתמשו בפתרונות אבטחה גם לסמארטפונים שלכם

'בחדרי' גם ברשתות החברתיות - הצטרפו!