Útočníci použili dovtedy legitímnu aplikáciu pre Android iRecorder na špehovanie obetí
Objavil škodlivú aplikáciu pre Android s názvom iRecorder – Screen Recorder, ktorá bola dostupná ako legitímna aplikácia v obchode Google Play, a to už od septembra 2021. No škodlivé funkcie boli do nej pridané pravdepodobne v auguste 2022. Počas svojej existencie bola aplikácia nainštalovaná do viac ako 50 000 zariadení. Škodlivý kód, ktorý bol pridaný do neškodnej verzie softvéru iRecorder, je založený na open source trójskom koni pre Android AhMyth a bol špeciálne upravený do malvéru, ktorý sme nazvali AhRat (RAT – Remote Access Trojan).
Škodlivá aplikácia iRecorder dokáže nahrávať zvuk prostredníctvom mikrofónu na zariadení a kradnúť súbory, čo naznačuje, že môže byť súčasťou špionážnej kampane.
Okrem aplikácie iRecorder sme malvér AhRat nezaznamenali nikde inde. Nejde však o prvý prípad, keď bol malvér pre Android založený na AhMyth dostupný v obchode Google Play. ESET zverejnil podobný výskum už v roku 2019. Spajvéru založenému na trójskom koni AhMyth sa vtedy podarilo dvakrát obísť kontrolný proces Googlu v prestrojení za softvér na poskytovanie rozhlasového vysielania.
Aktuálne nájdená aplikácia iRecorder sa nachádza aj na alternatívnych neoficiálnych obchodoch pre Android. Vývojárska spoločnosť za aplikáciou iRecorder ponúka na Google Play aj iné aplikácie, no neobsahujú škodlivý kód.
Prípad AhRat pritom slúži ako dobrý príklad toho, ako sa môže pôvodne legitímna aplikácia premeniť na škodlivú, a to dokonca po niekoľkých mesiacoch, keď začne špehovať svojich používateľov a narúšať ich súkromie. Existuje možnosť, že vývojári aplikácie chceli najprv vybudovať širokú bázu používateľov a až potom skompromitovať ich zariadenia prostredníctvom aktualizácie. Transformáciu však mohli mať na svedomí aj nezávislí útočníci, ktorí sa infiltrovali do systémov legitímnej aplikácie. Dôkazy, ktoré by v prípade AhRatu podporili jednu alebo druhú hypotézu, však chýbajú.
Na diaľku ovládaný malvér AhRat je modifikácia open source trójskeho koňa na vzdialený prístup AhMyth RAT. Znamená to, že autori škodlivej aplikácie venovali veľké úsilie pochopeniu kódu aplikácie aj backendu, pričom si ich prispôsobili pre vlastné potreby. Okrem poskytovania legitímnej funkcionality na nahrávanie obrazovky dokáže iRecorder zaznamenávať okolitý zvuk prostredníctvom mikrofónu na zariadení a nahrávať ho na riadiaci server útočníka. Takisto dokáže kradnúť súbory v špecifických formátoch predstavujúcich uložené webové stránky, obrázky, zvuk, video, dokumentové súbory a formáty použité na kompresiu viacerých súborov.
Aj používatelia, ktorí si nainštalovali neškodné skoršie verzie aplikácie iRecorder (pred verziou 1.3.8), nevedomky vystavili svoje zariadenia malvéru AhRat. Stačilo, ak si manuálne alebo automaticky aktualizovali aplikáciu. Aplikácii dokonca nemuseli udeliť žiadne ďalšie povolenia.
Našťastie proti takýmto škodlivým operáciám už boli nasadené preventívne opatrenia do systému Android 11 a vyšších verzií, a to vo forme hibernácie aplikácií. Táto funkcia účinne uvádza aplikácie, ktoré boli niekoľko mesiacov nečinné, do stavu hibernácie, čím sa resetujú ich runtime povolenia a škodlivým aplikáciám sa zabráni fungovať tak, ako zamýšľali útočníci. Škodlivá aplikácia bola po našom upozornení z Google Play odstránená. Tento prípad potvrdzuje, že potreba ochrany mobilných zariadení prostredníctvom viacerých vrstiev, ako je napríklad bezpečnostný softvér, je naďalej nevyhnutná na zabezpečenie zariadení pred možným narušením bezpečnosti.
A teraz z iného súdka, konkrétne APT skupín, ktorým sa tu venujeme azda v každom stĺpčeku. Nedávno sme zverejnili analýzu kyberzločineckej skupiny Asylum Ambuscade, ktorá popri svojej činnosti vykonáva aj špionážne operácie. Skupina realizuje kyberšpionážne kampane minimálne od roku 2020. ESET odhalil jej útoky na vládnych predstaviteľov a zamestnancov štátnych inštitúcií v krajinách strednej Ázie a v Arménsku. V roku 2022 sa skupina mala zamerať na vládnych predstaviteľov vo viacerých európskych krajinách susediacich s Ukrajinou. Podľa zistení výskumníkov spoločnosti ESET bolo cieľom útočníkov ukradnúť dôverné informácie a prihlasovacie údaje do webmailu z oficiálnych vládnych webmailových portálov. Asylum Ambuscade sa zvyčajne zameriava na malé a stredné firmy a jednotlivcov v Severnej Amerike a Európe.
V roku 2022, keď skupina zaútočila na vládnych úradníkov v niekoľkých európskych krajinách susediacich s Ukrajinou, sa reťaz kompromitácií začala spearphishingovým e-mailom obsahujúcim škodlivú prílohu Excel alebo Word. Ak bol skompromitovaný počítač pre útočníkov zaujímavý, nakoniec naň nasadili AHKBOT, downloader, ktorý možno rozšíriť o pluginy na špehovanie obete. Tieto pluginy zahŕňajú rôznu funkcionalitu vrátane snímania obrazovky, zaznamenávania stlačení klávesov, kradnutia hesiel z webových prehliadačov, sťahovania súborov a spustenia infostealera.
Hoci sa skupina dostala do centra pozornosti vďaka svojim špionážnym operáciám, už od začiatku roka 2020 viedla najmä kampane zamerané na počítačovú kriminalitu. Od januára 2022 zaznamenali výskumníci spoločnosti ESET viac ako 4500 obetí po celom svete.
Je takmer isté, že ani počas leta si kybernetickí zločinci a kyberšpionážne skupiny nedajú prestávku a budeme mať o čom písať aj v najbližšom vydaní. Dovtedy vám však želám hlavne príjemné leto, dovolenku a bezpečné surfovanie online svetom.
