Androidos kémprogram álcában

Egy androidos kémprogram új verzióját kezdték vizsgálni az ESET kutatói, amely mögött az APT-C-23 nevű, 2017 óta főként a Közel-Keleten aktív, hírhedten veszélyes bűnözői csoport áll. (A nyitó kép forrása: mirror.co.uk)

Az ESET által észlelt Android/SpyC23.A nevű új kémprogram a már létező verziókat fejleszti tovább, kiszélesített kémtevékenységgel, új lopakodó funkciókkal és megújított C&C kommunikációval. Egyik terjeszkedési útvonala az Android hamisított alkalmazásáruházán keresztül vezet: a felhasználók átverése érdekében olyan jól ismert üzenetküldő appoknak álcázzamagát, mint a Threema vagy a Telegram.

Az ESET szakemberei akkor kezdtek el nyomozni a rosszindulatú szoftver után, amikor az egyik kutató még áprilisban a Twitteren beszámolt egy addig ismeretlen androidos kártevőről.

A kémprogramra az Android hamisított áruházában találtak rá, ahol első ránézésre hitelesnek tűnő alkalmazások mögött bújt meg. A letöltés után a kártevő egy sor bizalmas jellegű engedélyt kér, amiket biztonsági funkciónak álcáz. Az engedélyezés után a kártevő többféle kémtevékenységet végez, követve a C&C vezérlőszervertől kapott távoli utasításokat. A hangrögzítésen, a hívásnaplók, SMS-ek és névjegyek szűrésén, illetve a fájlok ellopásán túl a megújított Android/SpyC23.A az üzenetküldő alkalmazások értesítéseit is el tudja olvasni, telefonhívásokat rögzít és visszautasíthat olyan értesítéseket, amik az Androidok beépített biztonsági alkalmazásaitól érkeznek. A kártékony szoftver C&C kommunikációját is továbbfejlesztették, emiatt a távoli vezérlőszervert még nehezebben ismerik fel a kiberbiztonsági kutatók.

A szakemberek ezért azt tanácsolják az Android-használóknak, hogy kizárólag az eredeti, hivatalos Google Play Áruházból töltsenek le alkalmazásokat, alaposan ellenőrizzék az engedélykéréseket, és használjanak megbízható, naprakész mobilos biztonsági megoldást.