Новый отчет по кибербезопасности показал, что шесть Android-приложений, доступных в Google Play Store, предположительно использовались для секретной записи разговоров пользователей, извлечения сообщений из WhatsApp и Signal, и потенциально для более широкого наблюдения. Результаты, подробно описанные исследователями ESET, подчеркивают риск проникновения вредоносного ПО даже в, казалось бы, надежные платформы.
Как работает шпионское ПО
После загрузки вредоносные приложения предположительно запускают код удаленного доступа (RAT) под названием VajraSpy. По данным ESET, этот код позволяет злоумышленникам перехватывать коммуникации и извлекать конфиденциальные данные. Примечательно, что одно приложение под названием WaveChat предположительно могло записывать фоновый звук даже когда пользователь не активно использовал микрофон своего телефона.
Кто был целью?
Хотя угроза в первую очередь не была направлена на пользователей в Соединенных Штатах, исследователи оценивают, что приложения были загружены около 1400 раз, с акцентом на пользователей в Индии и Пакистане. Результаты исследования показывают, что злоумышленники, вероятно, использовали «романтическую ловушку» для заманивания жертв в установку вредоносного ПО. Эта тактика включает в себя создание фальшивых онлайн-персон, чтобы завоевать доверие и побудить к скачиванию.
Выявление приложений
Исследователи ESET выявили в общей сложности 12 шпионских приложений, включая шесть, доступных в Google Play Store. Вредоносные приложения:
- Mashable Light Speed
- Privee Talk
- MeetMe *
- Let’s Chat
- Quick Chat
- Rafaqat رفاق
- Chit Chat
Важно отметить, что популярное приложение MeetMe, которое было загружено более 100 миллионов раз, не связано* с этим вредоносным ПО. Могут существовать другие приложения с таким же названием, поэтому будьте осторожны.
Более широкий контекст и последние данные
Это открытие добавляется к растущему списку опасений по поводу безопасности Android-приложений. В октябре исследователи ESET обнаружили два шпионских приложения, замаскированных под приложение Signal, нацеленных на пользователей в Объединенных Арабских Эмиратах. Это подчеркивает постоянную проблему, заключающуюся в том, что злоумышленники имитируют популярные и надежные приложения, чтобы обмануть пользователей.
Случай целенаправленной дезинформации?
Интересно, что есть свидетельства того, что одно из приложений VajraSpy могло конкретно нацеливаться на поклонников известного пакистанского игрока в крикет. Приложение было загружено пользователем по имени Mohammad Rizwan, который также является именем известного профессионального игрока в крикет (который не участвует в этой схеме). Это указывает на потенциальную стратегию эксплуатации популярности игрока для распространения вредоносного ПО.
Злоумышленник
Исследователи ESET приписывают шпионское ПО Patchwork APT, известной группе злоумышленников в сфере кибербезопасности. Эта группа известна своими сложными тактиками и целевыми кампаниями.
Обнаружение этих приложений VajraSpy подчеркивает необходимость бдительности и осторожности при загрузке приложений, даже из официальных магазинов приложений. Пользователи всегда должны внимательно изучать разрешения приложений и изучать разработчиков перед установкой чего-либо нового.
Ключевые выводы и защита себя
Этот инцидент является напоминанием о том, что даже устоявшиеся магазины приложений не являются непробиваемыми барьерами против вредоносного ПО. Чтобы защитить себя:
- Загружайте приложения только от надежных компаний.
- Внимательно изучайте разрешения приложений перед установкой. Предоставляйте только разрешения, необходимые для функциональности приложения.
- Будьте осторожны с приложениями, запрашивающими ненужные разрешения.
- Изучайте разработчиков перед установкой чего-либо нового.
- Регулярно обновляйте операционную систему и программное обеспечение безопасности своего устройства.
- Относитесь с осторожностью к подозрительным ссылкам или сообщениям, особенно к тем, которые обещают романтические отношения или другие заманчивые предложения.
Преобладание этих шпионских приложений подчеркивает важность информированности и безопасных методов просмотра, чтобы снизить риск стать жертвой вредоносного ПО.