Vírusový radar / Nebezpečné špionážne aplikácie útočiace v Emirátoch, severokórejskí hackeri útočiaci aj v Európe
Mesiac sa s mesiacom zišiel, čo je neklamný znak, že rovnako ako bolo rušno v našom Labe, vychádza aj tento pravidelný stĺpček. Patrí totiž medzi najdlhšie nepretržite vychádzajúce rubriky v slovenskej tlači – ak nie vôbec najstaršiu. Jeho história siaha až do 90. rokov, pričom celých trinásť rokov ho písal spoluzakladateľ ESETu Miroslav Trnka. Doba sa síce odvtedy zmenila, no tento formát zostáva stálicou. Jednoducho istota.
Jeden z dôležitých objavov, ktoré sme za posledné týždne zaznamenali, sa týka bezpečnosti androidových zariadení. Presnejšie, objav má na svedomí náš košický výskumník Lukáš Štefanko. A my na rozdiel od nášho premiéra dobre vieme, že na východe Slovenska je toho veľa – a rozhodne nie „nič“. Minimálne je tam náš Lukáš.
Odhalil dve doteraz nezdokumentované rodiny spajvéru pre Android, ktoré sme nazvali Android/Spy.ProSpy a Android/Spy.ToSpy. ProSpy sa vydáva za aplikácie Signal a ToTok, zatiaľ čo ToSpy sa zameriava výlučne na používateľov ToTok. Obe rodiny malvéru majú za cieľ odcudziť používateľské dáta vrátane dokumentov, súborov, kontaktov a záloh četov. Potvrdené detekcie v Spojených arabských emirátoch (SAE) a používanie phishingu a falošných obchodov s aplikáciami naznačujú regionálne zamerané operácie s premysleným spôsobom rozširovania malvéru. Malvér útočníci šírili prostredníctvom podvodných webových stránok a sociálneho inžinierstva.
Žiadna z aplikácií obsahujúcich spajvér nebola dostupná v oficiálnych obchodoch s aplikáciami. Obe pritom vyžadovali manuálnu inštaláciu z webových stránok tretích strán, ktoré sa vydávali za legitímne služby. Je zaujímavé, že jedna z webových stránok distribuujúcich malvér rodiny ToSpy napodobňovala obchod Samsung Galaxy Store a lákala používateľov, aby si ručne stiahli a nainštalovali škodlivú verziu aplikácie ToTok. Po inštalácii obe rodiny spajvéru zostávajú v zariadení a neustále exfiltrujú citlivé údaje a súbory z kompromitovaných zariadení s Androidom.
Aj pravý ToTok je pritom veľmi kontroverzná bezplatná aplikácia. Je síce určená na zasielanie správ a volania, no v decembri 2019 bola odstránená z Google Play a Apple App Store z dôvodu obáv o sledovanie. Vzhľadom na to, že jej používatelia sa nachádzajú predovšetkým v SAE, je pravdepodobné, že ToTok Pro sa zameriava na používateľov v tejto oblasti, ktorí sú náchylnejší na stiahnutie aplikácie z neoficiálnych zdrojov vo svojej oblasti. Aj pôvodná aplikácia bola zo SAE.
Po spustení obe škodlivé aplikácie žiadajú o povolenie na prístup ku kontaktom, SMS správam a súborom uloženým v zariadení. Ak sú tieto povolenia udelené, ProSpy začne v pozadí exfiltrovať dáta. Plugin Signal Encryption Plugin extrahuje informácie o zariadení, uložené SMS správy a zoznam kontaktov a exfiltruje ďalšie súbory, ako sú zálohy četov, audio, video a obrázky.
Je síce nepravdepodobné, že by sa k týmto špionážnym aplikáciám dostali slovenskí používatelia, aj tak by však mali byť ostražití pri sťahovaní aplikácií z neoficiálnych zdrojov a vyhnúť sa povoleniu inštalácie z neznámych zdrojov, ako aj pri inštalácii aplikácií alebo doplnkov mimo oficiálnych obchodov s aplikáciami, najmä tých, ktoré tvrdia, že zlepšujú dôveryhodné služby.
Naši výskumníci zverejnili aj hĺbkovú správu o aktivitách dvoch úzko prepojených severokórejských skupín DeceptiveDevelopment a Severokórejských IT pracovníkov. Analyzované kampane sa vo veľkej miere spoliehajú na sofistikované techniky sociálneho inžinierstva vrátane falošných pracovných pohovorov a techniky ClickFix, pomocou ktorých šíria malvér a odčerpávajú kryptomeny, pričom sekundárnym cieľom môže byť kybernetická špionáž.
Operátori skupiny DeceptiveDevelopment používajú falošné profily náborárov na sociálnych sieťach a cielene oslovujú softvérových vývojárov, často zapojených do kryptomenových projektov, ktorým poskytujú trojanizované kódy ako súčasť falošného pracovného pohovoru, zistil náš pražský výskumník Peter Kálnai (áno, aj v Prahe niečo je). Útočníci pritom využívajú mimoriadne kreatívne sociálne inžinierstvo. Pretože ich malvér je väčšinou jednoduchý, dokážu oklamať aj technicky zdatné obete.
Okrem falošných náborárskych účtov útočníci upravili a zlepšili techniku ClickFix. Obete sú nalákané na falošnú stránku pracovného pohovoru, kde majú vyplniť podrobný formulár, čím investujú čas a úsilie. V poslednom kroku sú vyzvané, aby nahrali video s odpoveďou, no stránka zobrazí chybu kamery a ponúkne odkaz „Ako opraviť“. Tento odkaz inštruuje používateľa, aby otvoril terminál a zadal príkaz, ktorý má problém vyriešiť – namiesto toho však stiahne a spustí malvér.
Skupina Severokórejských IT pracovníkov sa zas zameriava najmä na zamestnanie a kontrakty na Západe, pričom prioritou sú USA. Momentálne je pre nich hitom získavanie pracovných pozícií v Európe: s cieľmi vo Francúzsku, Poľsku, na Ukrajine a v Albánsku. Severokórejskí hackeri pritom využívajú AI na vykonávanie pracovných úloh, manipuláciu fotografií v profilových obrázkoch a životopisoch a dokonca aj na výmenu tváre v reálnom čase počas videopohovorov, aby vyzerali ako osoba, za ktorú sa vydávajú. Využívajú platformy ako Zoom, MiroTalk, FreeConference či Microsoft Teams na rôzne techniky sociálneho inžinierstva. Proxy pohovory predstavujú vážne riziko pre zamestnávateľov, keďže prijatie nelegitímneho zamestnanca zo sankcionovanej krajiny môže byť nielen nezodpovedné či neefektívne, ale aj potenciálne veľmi nebezpečné z hľadiska vnútorných hrozieb. Aktivity Severokórejských IT pracovníkov predstavujú hybridnú hrozbu. Tento podvodný model na objednávku kombinuje klasické kriminálne praktiky, ako je krádež identity a syntetický podvod s identitou, s digitálnymi nástrojmi, čo ho klasifikuje ako tradičný zločin aj kybernetický zločin, varuje Peter Kálnai.
Ako vidíte, v úvode som neklamal, že o zaujímavosti z nášho Labu nikdy nebude núdza. A istota je, že nebude ani o mesiac. Dovtedy vám prajem dobrodružné, osobné, pracovné a predovšetkým bezpečné surfovanie online svetom.
