Злоумышленник использует VPN-приложение с минами-ловушками для развертывания шпионского ПО для Android

Рекламное ПО и другие нежелательные и потенциально опасные приложения продолжают представлять наибольшую угрозу, с которой в настоящее время сталкиваются пользователи мобильных устройств. Но это не означает, что злоумышленники не пытаются постоянно внедрять другие сложные мобильные вредоносные программы.

Последний пример — «SandStrike», заминированное VPN-приложение для загрузки шпионского ПО на Android-устройства. Вредонос предназначен для поиска и кражи журналов вызовов, списков контактов и других конфиденциальных данных с зараженных устройств; он также может отслеживать и контролировать целевых пользователей, говорится в отчете «Лаборатории Касперского» на этой неделе.

Поставщик систем безопасности заявил, что его исследователи наблюдали, как операторы SandStrike пытались установить сложное шпионское ПО на устройства, принадлежащие членам иранской общины бахаи, преследуемой персоязычной группе меньшинства. Но поставщик не сообщил, сколько устройств злоумышленник мог атаковать или заразить. Связаться с Касперским для получения комментариев не удалось.

Тщательно продуманные приманки для социальных сетей

Чтобы заманить пользователей к загрузке вооруженного приложения, злоумышленники создали несколько учетных записей Facebook и Instagram, каждая из которых имеет более 1,000 подписчиков. Аккаунты в социальных сетях загружены тем, что Касперский назвал привлекательной графикой на религиозную тематику, предназначенной для привлечения внимания членов целевой религиозной группы. Учетные записи часто также содержат ссылку на канал Telegram, который предлагает бесплатное приложение VPN для пользователей, желающих получить доступ к сайтам, содержащим запрещенные религиозные материалы.

По мнению Касперского, злоумышленники даже создали собственную инфраструктуру VPN, чтобы сделать приложение полностью функциональным. Но когда пользователь загружает и использует SandStrike, он незаметно собирает и извлекает конфиденциальные данные, связанные с владельцем зараженного устройства.

Кампания является лишь последней в растущем списке шпионских усилий, связанных с передовой инфраструктурой и мобильным шпионским ПО — арена, которая включает в себя известные угрозы, такие как печально известная шпионская программа Pegasus от NSO Group. наряду с возникающими проблемами, такими как Отшельник.

Мобильные вредоносные программы на подъеме

Приложение SandStrike VPN с минами-ловушками является примером растущего числа вредоносных инструментов, развертываемых на мобильных устройствах. Исследование, опубликованное Proofpoint ранее в этом году, выявило На 500 % увеличилось количество попыток доставки мобильного вредоносного ПО. в Европе в первом квартале этого года. Это увеличение последовало за резким снижением объемов атак к концу 2021 года.

Поставщик средств защиты электронной почты обнаружил, что многие из новых вредоносных инструментов способны на гораздо большее, чем просто кражу учетных данных: «Недавние обнаружения включали вредоносные программы, способные записывать телефонные и нетелефонные аудио и видео, отслеживать местоположение и уничтожать или стирать контент и данные. ».

Официальные магазины мобильных приложений Google и Apple продолжают оставаться популярным вектором доставки мобильных вредоносных программ. Но субъекты угроз также все чаще используют фишинговые кампании на основе SMS и мошенничество с использованием социальной инженерии, подобные тем, которые наблюдались в кампании SandStrike, чтобы заставить пользователей устанавливать вредоносное ПО на свои мобильные устройства.

Proofpoint также обнаружил, что злоумышленники гораздо активнее атакуют устройства Android, чем устройства iOS. Одна из основных причин заключается в том, что iOS не позволяет пользователям устанавливать приложение через неофициальный сторонний магазин приложений или загружать его непосредственно на устройство, как это делает Android, сообщает Proofpoint.

Различные типы мобильного вредоносного ПО в обращении

Компания Proofpoint определила наиболее серьезные угрозы для мобильных устройств, такие как FluBot, TeaBot, TangleBot, MoqHao и BRATA. Различные возможности, интегрированные в эти вредоносные инструменты, включают кражу данных и учетных данных, кражу средств с онлайн-аккаунтов и общие шпионаж и слежка. Об одной из этих угроз — FluBot — почти ничего не известно. нарушение его инфраструктуры в скоординированных действиях правоохранительных органов в июне.

Proofpoint обнаружил, что мобильное вредоносное ПО не ограничивается определенным регионом или языком. «Вместо этого злоумышленники адаптируют свои кампании к различным языкам, регионам и устройствам», — предупредила компания.

Между тем, Касперский заявил, что заблокировал около 5.5 миллионов атак вредоносного, рекламного и потенциально опасного ПО нацелены на мобильные устройства во втором квартале 2 года. Более 2022% этих атак были связаны с рекламным ПО, что делает его самой распространенной мобильной угрозой на данный момент. Но другие известные угрозы включали мобильные банковские трояны, мобильные инструменты-вымогатели, шпионскую ссылку SandStrike и загрузчики вредоносных программ. «Лаборатория Касперского» обнаружила, что создатели некоторых вредоносных мобильных приложений все больше нацелены на пользователей сразу из нескольких стран.

Тенденция мобильных вредоносных программ представляет растущую угрозу для корпоративных организаций, особенно для тех, которые допускают использование неуправляемых и личных устройств на рабочем месте. В прошлом году Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) опубликовало контрольный список действий которые организации могут предпринять для устранения этих угроз. Его рекомендации включают необходимость для организаций внедрять управление мобильными устройствами, ориентированное на безопасность; обеспечить, чтобы только доверенные устройства имели доступ к приложениям и данным; использовать строгую аутентификацию; отключить доступ к сторонним магазинам приложений; и гарантировать, что пользователи используют только проверенные магазины приложений.