У новому звіті про кібербезпеку виявлено, що шість додатків для Android, доступних у Google Play Store, нібито використовувалися для таємного запису розмов користувачів, витягування повідомлень із WhatsApp і Signal і, можливо, для ширшого спостереження. Висновки, детально описані дослідниками ESET, підкреслюють ризик проникнення шкідливих програм навіть на, здавалося б, надійні платформи.
Як працює шпигунське програмне забезпечення
Після завантаження шкідливі програми нібито запускають код віддаленого доступу (RAT) під назвою VajraSpy. Згідно з ESET, цей код дозволяє зловмисникам перехоплювати комунікації та витягувати конфіденційні дані. Примітно, що одна програма під назвою WaveChat нібито могла записувати фоновий звук навіть коли користувач активно не використовував мікрофон свого телефону.
Хто був метою?
Хоча загроза в першу чергу не була націлена на користувачів у Сполучених Штатах, дослідники підрахували, що програми були завантажені приблизно 1400 разів, зосереджені на користувачах в Індії та Пакистані. Результати дослідження свідчать про те, що зловмисники, ймовірно, використовували «романтичну пастку», щоб спонукати жертв встановити шкідливе програмне забезпечення. Ця тактика передбачає створення фальшивих онлайн-персон, щоб завоювати довіру та стимулювати завантаження.
Ідентифікація програм
Дослідники ESET ідентифікували загалом 12 шпигунських програм, у тому числі шість доступних у Google Play Store. Шкідливі програми:
- Mashable Light Speed
-Privee Talk
-MeetMe* - Давайте побалакати
- Швидкий чат
- Рафакат رفاق
- Чат
Важливо зауважити, що популярна програма MeetMe, яку завантажили понад 100 мільйонів разів, не* пов’язана з цією шкідливою програмою. Можуть існувати інші програми з такою назвою, тому будьте обережні.
Ширший контекст і останні дані
Це відкриття додає до зростаючого списку проблем щодо безпеки додатків Android. У жовтні дослідники ESET виявили дві шпигунські програми, замасковані під програму Signal, націлені на користувачів в Об’єднаних Арабських Еміратах. Це підкреслює постійну проблему, пов’язану з тим, що зловмисники імітують популярні та надійні програми, щоб обдурити користувачів.
Випадок цілеспрямованої дезінформації?
Цікаво, що є докази того, що один із додатків, VajraSpy, міг спеціально націлюватися на шанувальників відомого пакистанського гравця в крикет. Додаток завантажив користувач на ім’я Мохаммад Різван, яке також є ім’ям відомого професійного гравця в крикет (який не залучений до цієї схеми). Це вказує на потенційну стратегію використання популярності гравця для поширення зловмисного програмного забезпечення.
Нападник
Дослідники ESET приписують шпигунське програмне забезпечення Patchwork APT, відомій групі загроз кібербезпеці. Група відома своєю витонченою тактикою та цілеспрямованими кампаніями.
Виявлення цих програм VajraSpy підкреслює необхідність бути пильними та обережними під час завантаження програм, навіть з офіційних магазинів програм. Користувачі повинні завжди уважно переглядати дозволи програми та досліджувати розробників, перш ніж установлювати щось нове.
Основні висновки та захистіть себе
Цей інцидент є нагадуванням про те, що навіть відомі магазини додатків не є непроникними бар’єрами для зловмисного програмного забезпечення. Щоб захистити себе:
- Завантажуйте програми лише від перевірених компаній.
- Уважно перевірте дозволи програми перед встановленням. Надайте лише дозволи, необхідні для роботи програми.
- Будьте обережні з програмами, які запитують непотрібні дозволи.
- Дослідіть розробників перед встановленням чогось нового.
- Регулярно оновлюйте операційну систему та програмне забезпечення безпеки свого пристрою.
- Будьте обережні з підозрілими посиланнями або повідомленнями, особливо з тими, які обіцяють романтику чи інші спокусливі пропозиції.
Поширеність цих шпигунських програм підкреслює важливість обізнаності та безпечних практик перегляду, щоб зменшити ризик стати жертвою зловмисного програмного забезпечення.
