Igralec kibernetske grožnje uporablja aplikacijo VPN z mino za uvedbo vohunske programske opreme Android

Oglaševalski programi in druge neželene ter potencialno tvegane aplikacije še naprej predstavljajo največjo grožnjo, s katero se trenutno soočajo uporabniki mobilnih naprav. Toda to ne pomeni, da napadalci ne poskušajo nenehno namestiti tudi druge sofisticirane zlonamerne programske opreme za mobilne naprave.

Najnovejši primer je »SandStrike«, aplikacija VPN za nalaganje vohunske programske opreme v naprave Android. Zlonamerna programska oprema je zasnovana za iskanje in krajo dnevnikov klicev, seznamov stikov in drugih občutljivih podatkov iz okuženih naprav; lahko tudi sledi in spremlja ciljne uporabnike, je Kaspersky dejal v poročilu ta teden.

Prodajalec varnosti je dejal, da so njegovi raziskovalci opazili operaterje SandStrike, ki so poskušali namestiti sofisticirano vohunsko programsko opremo na naprave, ki pripadajo članom iranske skupnosti Baha'i, preganjane, perzijsko govoreče manjšinske skupine. Toda prodajalec ni razkril, na koliko naprav je akter grožnje morda ciljal ali jih je uspelo okužiti. Kaspersky ni bil takoj dosegljiv za komentar.

Dodelane vabe družbenih medijev

Da bi uporabnike zvabili k prenosu oborožene aplikacije, so akterji groženj vzpostavili več računov na Facebooku in Instagramu, ki naj bi imeli vsi več kot 1,000 sledilcev. Računi družbenih medijev so polni tega, kar je Kaspersky opisal kot privlačno grafiko z versko tematiko, ki je zasnovana tako, da pritegne pozornost članov ciljne verske skupine. Računi pogosto vsebujejo tudi povezavo do kanala Telegram, ki ponuja brezplačno aplikacijo VPN za uporabnike, ki želijo dostopati do spletnih mest, ki vsebujejo prepovedano versko gradivo.

Glede na Kaspersky, so akterji groženj celo vzpostavili lastno infrastrukturo VPN, da bi aplikacija postala popolnoma funkcionalna. Toda ko uporabnik prenese in uporablja SandStrike, ta tiho zbira in izloči občutljive podatke, povezane z lastnikom okužene naprave.

Kampanja je le zadnja na rastočem seznamu vohunskih prizadevanj, ki vključujejo napredno infrastrukturo in mobilno vohunsko programsko opremo – areno, ki vključuje dobro znane grožnje, kot je razvpita vohunska programska oprema Pegasus skupine NSO. skupaj z nastajajočimi težavami, kot je Hermit.

Mobilna zlonamerna programska oprema v porastu

Minirana aplikacija SandStrike VPN je primer vse večjega obsega zlonamernih orodij, ki se uporabljajo na mobilnih napravah. Raziskava, ki jo je Proofpoint objavil v začetku tega leta, je poudarila a 500-odstotno povečanje števila poskusov dostave zlonamerne programske opreme za mobilne naprave v Evropi v prvem četrtletju letošnjega leta. Povečanje je sledilo močnemu zmanjšanju obsega napadov proti koncu leta 2021.

Prodajalec varnosti e-pošte je ugotovil, da je veliko novih orodij zlonamerne programske opreme zmožnih veliko več kot le kraje poverilnic: »Nedavna odkritja so vključevala zlonamerno programsko opremo, ki lahko snema telefonski in netelefonski zvok in video, sledi lokaciji ter uničuje ali briše vsebino in podatke .”

Googlovi in ​​Applovi uradni trgovini z mobilnimi aplikacijami sta še naprej priljubljen vektor dostave zlonamerne programske opreme za mobilne naprave. Toda akterji groženj vedno pogosteje uporabljajo kampanje z lažnim predstavljanjem, ki temeljijo na sporočilih SMS, in prevare družbenega inženiringa, kot jih vidimo v kampanji SandStrike, da bi uporabnike prepričali, da na svoje mobilne naprave namestijo zlonamerno programsko opremo.

Proofpoint je tudi ugotovil, da napadalci veliko bolj ciljajo na naprave Android kot na naprave iOS. Eden od velikih razlogov je, da iOS uporabnikom ne dovoljuje namestitve aplikacije prek neuradne trgovine z aplikacijami tretjih oseb ali prenosa neposredno v napravo, kot to počne Android, je dejal Proofpoint.

Različne vrste mobilne zlonamerne programske opreme v obtoku

Proofpoint je identificiral najpomembnejše grožnje zlonamerne programske opreme za mobilne naprave kot FluBot, TeaBot, TangleBot, MoqHao in BRATA. Različne zmožnosti, vključene v ta orodja zlonamerne programske opreme, vključujejo krajo podatkov in poverilnic, krajo sredstev s spletnih računov in splošno vohunjenje in opazovanje. Ena od teh groženj – FluBot – je bila večinoma tiha od motnje njene infrastrukture junija v usklajeni akciji organov pregona.

Proofpoint je ugotovil, da zlonamerna programska oprema za mobilne naprave ni omejena na določeno regijo ali jezik. "Namesto tega akterji groženj prilagajajo svoje kampanje različnim jezikom, regijam in napravam," je opozorilo podjetje.

Medtem je Kaspersky rekel, da je blokiran približno 5.5 milijona napadov z zlonamerno programsko opremo, oglaševalsko programsko opremo in tvegano programsko opremo ciljala na mobilne naprave v drugem četrtletju 2. Več kot 2022 % teh napadov je vključevalo oglaševalsko programsko opremo, zaradi česar je ta trenutek najpogostejša grožnja za mobilne naprave. Toda druge pomembne grožnje so vključevale trojance za mobilno bančništvo, orodja za mobilno izsiljevalsko programsko opremo, povezavo do vohunske programske opreme SandStrike in prenosniki zlonamerne programske opreme. Kaspersky je ugotovil, da ustvarjalci nekaterih zlonamernih mobilnih aplikacij vedno bolj ciljajo na uporabnike iz več držav hkrati.

Trend mobilne zlonamerne programske opreme predstavlja vse večjo grožnjo podjetniškim organizacijam, zlasti tistim, ki dovoljujejo neupravljane naprave in naprave v osebni lasti na delovnem mestu. Lansko leto je ameriška agencija za kibernetsko varnost in varnost infrastrukture (CISA) izdala a kontrolni seznam dejanj ki jih organizacije lahko sprejmejo za reševanje teh groženj. Njegova priporočila vključujejo potrebo, da organizacije izvajajo upravljanje mobilnih naprav, osredotočeno na varnost; zagotoviti, da imajo samo zaupanja vredne naprave dostop do aplikacij in podatkov; uporabljati močno avtentikacijo; za onemogočanje dostopa do trgovin z aplikacijami tretjih oseb; in zagotoviti, da uporabniki uporabljajo samo izbrane trgovine z aplikacijami.