Vírusový radar / Pozor na konverzačné aplikácie, ponúkajú aj nebezpečné romantické pasce
Takmer všetci ich máme vo svojom smartfóne nainštalované: WhatsApp, Signal či Telegram. Nie vždy si však používatelia stiahnu ich legitímne verzie. A niekedy si s nimi do telefónu zavlečú aj neželaného hosťa, ktorý ich môže špehovať, kradnúť citlivé informácie alebo úspory v kryptomenách priamo z ich peňaženky. Práve o tom je najnovší stĺpček z nášho Labu.
Lukáš Štefanko, náš výskumník v Košiciach, objavil desiatky napodobenín webových stránok aplikácií Telegram a WhatsApp, ktoré sa zameriavajú najmä na používateľov platforiem Android a Windows. Skompromitované verzie týchto aplikácií využívajú útočníci na krádež kryptomien. Väčšina identifikovaných škodlivých aplikácií obsahuje clippery, teda typ malvéru, ktorý kradne alebo upravuje obsah clipboardu (schránka, v ktorej sa nachádza súbor po skopírovaní). Všetky clippery idú po finančných prostriedkoch obetí v kryptomenách, pričom viaceré sa zameriavajú na kryptopeňaženky. Ide o prvý prípad clipperov pre Android špecificky sa zameriavajúcich na četovacie aplikácie. Niektoré z týchto aplikácií navyše využívajú optické rozpoznávanie znakov na identifikovanie textu zo snímok obrazovky uložených v napadnutých zariadeniach. Ide o ďalšiu prvýkrát pozorovanú schopnosť malvéru pre Android.
Na základe písma použitého v napodobeninách aplikácií sa zdá, že útočníci, ktorí za nimi stoja, sa zameriavajú najmä na ľudí používajúcich pri písanej komunikácii čínske znaky. Keďže služby Telegram aj WhatsApp sú v Číne už niekoľko rokov blokované, ľudia, ktorí chcú tieto aplikácie používať, ich musia získať cez neoficiálne distribučné kanály.
V prvom kroku útočníci vytvorili reklamy na Google, ktoré používateľov naviedli na podvodné kanály YouTube. Tie následne presmerovali návštevníkov na falošné webové stránky Telegram a WhatsApp. ESET okamžite nahlásil podvodné reklamy a súvisiace kanály YouTube spoločnosti Google, ktorá ich všetky zrušila. Hlavný účel objavených clipperov je zachytávať komunikáciu obete prostredníctvom správ a nahradiť všetky odoslané a prijaté adresy peňaženiek s kryptomenami za adresy, ktoré patria útočníkom.
V inom prípade Lukáš Štefanko analyzoval špionážnu kampaň, takisto zameranú na zariadenia s Androidom, a to prostredníctvom skompromitovaných aplikácií, pôvodne určených na bezpečné posielanie správ a volanie. Aplikácie pritom v skutočnosti kradnú citlivé údaje vďaka CapraRAT backdooru. Ide o stále aktívnu kampaň APT skupiny Transparent Tribe, ktorá cieli najmä na indických a pakistanských používateľov Androidu, pravdepodobne z vojenských a politických kruhov.
Zaujímavé je, že útočníci použili na prvotný kontakt s obeťami pravdepodobne romantickú pascu (tzv. honey trap), v rámci ktorej najprv kontaktovali používateľov falošné „krásky“ prostredníctvom inej platformy, kde ich presvedčili, aby presunuli komunikáciu na „bezpečnejšiu“ aplikáciu, ktorú si následne nainštalovali. Nájsť telefónne číslo alebo e-mailovú adresu na prvotný kontakt zvyčajne nie je príliš náročné. V Labe sme lokalizovali viac ako 150 obetí z Indie a Pakistanu, ako aj z Ruska, Ománu a Egypta. Kampaň je s najväčšou pravdepodobnosťou aktívna už od júla 2022.
CapraRAT dokáže vyhotovovať snímky obrazovky a fotografie, nahrávať telefonické rozhovory a okolitý zvuk či vynášať akékoľvek citlivé informácie. Backdoor takisto dokáže prijímať príkazy na sťahovanie súborov, uskutočňovanie hovorov a posielanie SMS správ. Nič nenasvedčuje tomu, že tieto aplikácie boli dostupné aj v obchode Google Play.
A aj tretí objav v tomto stĺpčeku bude súvisieť s mobilnými konverzačnými aplikáciami. Hrozbu odhalili naši výskumníci Matías Porolli z Montrealu a Fernando Tavella z nášho tímu v Buenos Aires. Analyzovaná kampaň bola tiež zacielená na obyvateľov juhovýchodnej a východnej Ázie. Útočníci v rámci kybernetickej operácie nakúpili reklamný priestor vo vyhľadávači Google. Výsledky vyhľadávania odkazovali na stránky, z ktorých si obete stiahli malvér. Neznámi útočníci vytvorili falošné stránky, ktoré vyzerali ako legitímne weby populárnych aplikácií ako Firefox, WhatsApp, Signal, Skype a Telegram. V inštalačných súboroch falošných aplikácií sa skrýval malvér FatalRAT, trójsky kôň na vzdialený prístup, ktorý dokáže útočníkom poskytnúť úplnú kontrolu nad infikovaným zariadením. Útok zasiahol prevažne používateľov v Číne, Hongkongu a na Taiwane, ale aj v juhovýchodnej Ázii a v Japonsku.
FatalRAT pritom poskytuje viacero funkcií na vykonanie škodlivých aktivít na počítačoch obetí. Dokáže napríklad zaznamenávať stlačenia na klávesnici, kradnúť alebo mazať dáta ukladané niektorými prehliadačmi či sťahovať a spúšťať súbory. ESET zaznamenal tieto útoky medzi augustom 2022 a januárom 2023, no podľa našej telemetrie používali útočníci staršie verzie inštalačných súborov najmenej od mája 2022.
Je možné, že útočníci sa zaujímali výhradne o krádež informácií, napríklad prihlasovacích údajov, ktoré môžu následne predať na fórach alebo ich využiť na iný typ kriminálnej činnosti.
Najlepšia ochrana okrem vhodného bezpečnostného produktu je vždy a starostlivo skontrolovať URL adresu stránky predtým, ako si z nej stiahnete akýkoľvek softvér. Do vyhľadávača zadajte adresu, až keď ste si istí, že ide o skutočnú stránku spoločnosti.
A obdobne to platí aj pre prvé dve spomínané hrozby. Aplikácie inštalujte len z dôveryhodných a spoľahlivých zdrojov, ako je napríklad obchod Google Play, a neukladajte do svojho zariadenia nešifrované obrázky alebo snímky obrazovky obsahujúce citlivé informácie. Ak sa domnievate, že máte škodlivú verziu aplikácie Telegram alebo WhatsApp, odstráňte ju, preskenujte svoje zariadenie bezpečnostným softvérom a následne si stiahnite oficiálnu aplikáciu buď z Google Play, alebo priamo z webovej stránky ich výrobcu.
Dôveruj, ale preveruj, ako sa vraví. A na internete to platí dvojnásobne. Ako zvyčajne vám želám dobrodružné a hlavne bezpečné brázdenie online svetom.
Branislav Ondrášik, ESET
