Một nhóm hack được biết đến với các cuộc tấn công ở Trung Đông, ít nhất là từ năm 2017, gần đây đã bị phát hiện mạo danh các ứng dụng nhắn tin hợp pháp như Telegram và Threema để lây nhiễm phần mềm độc hại mới, không có giấy tờ trước đây cho các thiết bị Android.
“So với các phiên bản được ghi nhận vào năm 2017, Android / SpyC23.A có chức năng gián điệp mở rộng, bao gồm đọc thông báo từ các ứng dụng nhắn tin, ghi âm cuộc gọi và ghi âm màn hình cũng như các tính năng ẩn mới, chẳng hạn như loại bỏ thông báo từ các ứng dụng bảo mật Android cài sẵn” công ty an ninh mạng ESET nói trong một phân tích hôm thứ Tư.
Được Qihoo 360 chi tiết lần đầu vào năm 2017 với biệt danh Bọ cạp hai đuôi (hay còn gọi là APT-C-23 hoặc Desert Scorpion), phần mềm độc hại di động đã được coi là “phần mềm giám sát” vì khả năng do thám thiết bị của các cá nhân được nhắm mục tiêu, lấy cắp nhật ký cuộc gọi, danh bạ, vị trí, tin nhắn, ảnh và các tài liệu nhạy cảm khác trong quá trình.
Vào năm 2018, Symantec đã phát hiện ra một biến thể mới hơn của chiến dịch đã sử dụng một trình phát đa phương tiện độc hại để thu hút thông tin từ thiết bị và lừa nạn nhân cài đặt thêm phần mềm độc hại.
Sau đó đầu năm nay, Check Point Research đã nêu chi tiết các dấu hiệu mới về hoạt động của APT-C-23 khi các nhà khai thác Hamas đóng giả các cô gái trẻ tuổi teen trên Facebook, Instagram và Telegram để dụ binh sĩ Israel cài đặt các ứng dụng bị nhiễm phần mềm độc hại trên điện thoại của họ.
Phiên bản mới nhất của phần mềm gián điệp được ESET chi tiết mở rộng trên các tính năng này, bao gồm khả năng thu thập thông tin từ các ứng dụng nhắn tin và truyền thông xã hội thông qua ghi màn hình và ảnh chụp màn hình, thậm chí ghi lại các cuộc gọi đến và đi trong WhatsApp và đọc văn bản thông báo từ mạng xã hội các ứng dụng, bao gồm WhatsApp, Viber, Facebook, Skype và Messenger.
Sự lây nhiễm bắt đầu khi nạn nhân truy cập vào một cửa hàng ứng dụng Android giả mạo có tên “DigitalApps” và tải xuống các ứng dụng như Telegram, Threema và weMessage, cho thấy rằng động cơ của nhóm đằng sau việc mạo danh ứng dụng nhắn tin là để “biện minh cho các quyền khác nhau mà phần mềm độc hại yêu cầu. “
Ngoài việc yêu cầu quyền xâm phạm để đọc thông báo, tắt Google Play Protect và ghi lại màn hình của người dùng dưới vỏ bọc các tính năng bảo mật và quyền riêng tư, phần mềm độc hại còn giao tiếp với máy chủ ra lệnh và kiểm soát (C2) để đăng ký nạn nhân mới bị nhiễm và truyền thông tin thiết bị.
Các máy chủ C2, thường giả dạng trang web đang được bảo trì, cũng chịu trách nhiệm chuyển tiếp các lệnh đến điện thoại bị xâm phạm, có thể được sử dụng để ghi âm thanh, khởi động lại Wi-Fi, gỡ cài đặt bất kỳ ứng dụng nào được cài đặt trên thiết bị, trong số những ứng dụng khác.
Hơn nữa, nó còn được trang bị một tính năng mới cho phép thực hiện cuộc gọi một cách lén lút trong khi tạo lớp phủ màn hình đen để che đi hoạt động cuộc gọi.
“Nghiên cứu của chúng tôi cho thấy nhóm APT-C-23 vẫn đang hoạt động, nâng cao bộ công cụ di động và chạy các hoạt động mới. Android / SpyC32.A – phiên bản phần mềm gián điệp mới nhất của nhóm – có một số cải tiến khiến nó trở nên nguy hiểm hơn đối với nạn nhân”, ESET cho biết .
Các ứng dụng được tải xuống từ các cửa hàng ứng dụng của bên thứ ba lừa đảo đã là đường dẫn cho phần mềm độc hại Android trong những năm gần đây. Điều cần thiết là phải bám sát các nguồn chính thức để hạn chế rủi ro và xem xét kỹ lưỡng các quyền mà ứng dụng yêu cầu trước khi cài đặt chúng trên thiết bị.
