Adware en andere ongewenste en potentieel risicovolle applicaties vormen nog steeds de grootste bedreiging waarmee gebruikers van mobiele apparaten momenteel worden geconfronteerd. Maar dat betekent niet dat aanvallers niet constant andere geavanceerde mobiele malware proberen te implementeren.
Het nieuwste voorbeeld is "SandStrike", een VPN-toepassing met boobytraps voor het laden van spyware op Android-apparaten. De malware is ontworpen om oproeplogboeken, contactlijsten en andere gevoelige gegevens van geรฏnfecteerde apparaten te vinden en te stelen; het kan ook gerichte gebruikers volgen en volgen, zei Kaspersky deze week in een rapport.
De beveiligingsleverancier zei dat zijn onderzoekers hadden waargenomen dat de operators van SandStrike probeerden de geavanceerde spyware in te zetten op apparaten van leden van de Iraanse bahรก'รญ-gemeenschap, een vervolgde, Perzisch sprekende minderheidsgroep. Maar de leverancier heeft niet bekendgemaakt op hoeveel apparaten de dreigingsactor zich mogelijk heeft gericht of heeft weten te infecteren. Kaspersky was niet direct bereikbaar voor commentaar.
Uitgebreid kunstaas voor sociale media
Om gebruikers ertoe te verleiden de bewapende app te downloaden, hebben de bedreigingsactoren meerdere Facebook- en Instagram-accounts aangemaakt, die allemaal meer dan 1,000 volgers zouden hebben. De sociale media-accounts staan โโvol met wat Kaspersky omschreef als aantrekkelijke afbeeldingen met een religieus thema, ontworpen om de aandacht te trekken van leden van de beoogde geloofsgroep. De accounts bevatten vaak ook een link naar een Telegram-kanaal dat een gratis VPN-app biedt voor gebruikers die toegang willen krijgen tot sites met verboden religieus materiaal.
Volgens Kaspersky, hebben de dreigingsactoren zelfs hun eigen VPN-infrastructuur opgezet om de app volledig functioneel te maken. Maar wanneer een gebruiker SandStrike downloadt en gebruikt, verzamelt en exfiltreert het stilletjes gevoelige gegevens die verband houden met de eigenaar van het geรฏnfecteerde apparaat.
De campagne is slechts de laatste in een groeiende lijst van spionage-inspanningen waarbij geavanceerde infrastructuur en mobiele spyware betrokken zijn โ een arena met bekende bedreigingen zoals de beruchte Pegasus-spyware van de NSO Group samen met opkomende problemen zoals Hermit.
Mobiele malware in opkomst
De boobytraps SandStrike VPN-app is een voorbeeld van het groeiende aantal malwaretools dat op mobiele apparaten wordt ingezet. Onderzoek dat Proofpoint eerder dit jaar uitbracht, benadrukte een: 500% toename in pogingen om malware op mobiele apparaten af โโte leveren in Europa in het eerste kwartaal van dit jaar. De stijging volgde op een scherpe daling van het aanvalsvolume tegen het einde van 2021.
De leverancier van e-mailbeveiliging ontdekte dat veel van de nieuwe malwaretools tot veel meer in staat zijn dan alleen het stelen van inloggegevens: โRecente detecties hebben betrekking op malware die in staat is om telefonische en niet-telefoon audio en video op te nemen, de locatie te volgen en inhoud en gegevens te vernietigen of te wissen. .โ
De officiรซle mobiele app-winkels van Google en Apple blijven een populaire vector voor het afleveren van mobiele malware. Maar bedreigingsactoren gebruiken ook steeds vaker op sms gebaseerde phishing-campagnes en social engineering-zwendel zoals in de SandStrike-campagne om gebruikers ertoe te brengen malware op hun mobiele apparaten te installeren.
Proofpoint ontdekte ook dat aanvallers zich veel sterker op Android-apparaten richten dan op iOS-apparaten. Een belangrijke reden is dat iOS gebruikers niet toestaat een app te installeren via een onofficiรซle app-store van derden of deze rechtstreeks naar het apparaat te downloaden, zoals Android doet, zei Proofpoint.
Verschillende soorten mobiele malware in omloop
Proofpoint identificeerde de belangrijkste mobiele malwarebedreigingen als FluBot, TeaBot, TangleBot, MoqHao en BRATA. De verschillende mogelijkheden die in deze malwaretools zijn geรฏntegreerd, zijn onder meer diefstal van gegevens en inloggegevens, het stelen van geld van online accounts en algemene spionage en toezicht. Een van deze bedreigingen - FluBot - is grotendeels stil geweest sinds de verstoring van de infrastructuur in een gecoรถrdineerde rechtshandhavingsactie in juni.
Proofpoint ontdekte dat mobiele malware niet beperkt is tot een specifieke regio of taal. "In plaats daarvan passen dreigingsactoren hun campagnes aan verschillende talen, regio's en apparaten aan", waarschuwde het bedrijf.
Ondertussen zei Kaspersky dat het geblokkeerd was zo'n 5.5 miljoen malware-, adware- en riskware-aanvallen gericht op mobiele apparaten in het tweede kwartaal van 2. Bij meer dan 2022% van deze aanvallen was adware betrokken, waardoor het momenteel de meest voorkomende mobiele bedreiging is. Maar andere opmerkelijke bedreigingen waren onder meer Trojaanse paarden voor mobiel bankieren, mobiele ransomware-tools, spyware-link SandStrike en malware-downloaders. Kaspersky ontdekte dat makers van sommige kwaadaardige mobiele apps zich steeds vaker richten op gebruikers uit meerdere landen tegelijk.
De trend van mobiele malware vormt een groeiende bedreiging voor bedrijfsorganisaties, met name organisaties die onbeheerde en persoonlijke apparaten op de werkplek toestaan. Vorig jaar bracht het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) een: checklist met acties die organisaties kunnen nemen om deze bedreigingen aan te pakken. De aanbevelingen zijn onder meer de noodzaak voor organisaties om op beveiliging gericht beheer van mobiele apparaten te implementeren; om ervoor te zorgen dat alleen vertrouwde apparaten toegang krijgen tot applicaties en gegevens; om sterke authenticatie te gebruiken; om de toegang tot app-winkels van derden uit te schakelen; en om ervoor te zorgen dat gebruikers alleen beheerde app-winkels gebruiken.
