Vírusový radar: Exotická návšteva androidových smartfónov kradla dáta prostredníctvom falošných komunikačných aplikácií

Je tu ďalší mesiac, Slovensko si trochu vydýchlo po mesiacoch predvolebných kampaní, protestov, ale jedna ďalšia vec spolu s polarizovanou spoločnosťou zostáva konštantná – kybernetické útoky sa diali a diať budú.

Výskumníci spoločnosti ESET len nedávno objavili aktívnu špionážnu kampaň zameranú na používateľov Androidu s aplikáciami, ktoré sa primárne tvária ako služby na odosielanie správ. Aj keď tieto aplikácie ponúkajú funkčné služby ako návnadu, sú spojené s malvérom XploitSPY. ESET túto kampaň nazval eXotic Visit a sledoval jej aktivity od novembra 2021 do konca roka 2023. Cielená kampaň distribuovala škodlivé aplikácie pre Android prostredníctvom webových stránok a istý čas aj prostredníctvom obchodu Google Play.

Vzhľadom na cielenú povahu kampane mali aplikácie dostupné v službe Google Play nízky počet inštalácií a všetky boli z obchodu odstránené. Zdá sa, že v tomto pravdepodobne cielenom útoku sa kampaň eXotic Visit zameriava predovšetkým na vybranú skupinu používateľov systému Android v Pakistane a Indii. Nič nenaznačuje, že táto kampaň je prepojená s nejakou známou skupinou; ESET však sleduje aktérov hrozby pod názvom Virtual Invaders.

Aplikácie, ktoré obsahujú XploitSPY, môžu extrahovať zoznamy kontaktov a súbory, extrahovať polohu GPS zariadenia. Kradne aj názvy súborov pre fotoaparát, takisto informácie súvisiace s  aplikáciami na odosielanie správ, ako sú Telegram a WhatsApp. Ak sa niektoré názvy súborov považujú za zaujímavé, možno ich následne extrahovať z týchto adresárov pomocou dodatočného príkazu z príkazového a riadiaceho (C&C) servera. Implementácia funkcie četu integrovanej s XploitSPY je vcelku jedinečná a zjavne práve túto funkcionalitu četu vyvinula skupina Virtual Invaders.

Malvér používa aj natívnu knižnicu, ktorá sa často využíva pri vývoji aplikácií pre Android na zlepšenie výkonu a prístup k funkciám systému. V tomto prípade sa však knižnica používa na skrytie citlivých informácií, ako sú adresy C&C serverov, čo sťažuje bezpečnostným nástrojom analýzu tejto aplikácie.

Dotknuté aplikácie – Dink Messenger, Sim Info a Defcom – už boli stiahnuté zo služby Google Play; ESET navyše ako partner Google App Defense Alliance identifikoval desať ďalších aplikácií, ktoré obsahujú kód založený na XploitSPY, a svoje zistenia oznámil spoločnosti Google. Po našom upozornení boli z obchodu odstránené. Každá z aplikácií mala nízky počet inštalácií, čo naznačuje skôr cielenie na vybrané obete. Dovedna si približne 380 obetí stiahlo aplikácie z webových stránok a obchodu Google Play a vytvorilo si účty na odosielanie správ. Vzhľadom na cielenú povahu kampane bol počet inštalácií každej aplikácie zo služby Google Play relatívne nízky – medzi nulou a 45.

ESET identifikoval použitý škodlivý kód ako prispôsobenú verziu open source Android RAT, XploitSPY. Kampaň sa v priebehu rokov vyvíjala a zahŕňala zahmlievanie, detekciu emulátorom a skrývanie adries C&C serverov.

A na záver ešte jedna zaujímavá správa z našej kuchyne, budeme radi, ak sa o ňu podelíte so svojimi starými rodičmi. Bezpečne na nete (bezpecnenanete.sk), ako voľne dostupná vzdelávacia platforma spoločnosti ESET, rozširuje svoj obsah o novú kategóriu, špeciálne určenú pre seniorov. Nová sekcia na webovej stránke slúži ako jednoduchý a bezplatný sprievodca digitálnou bezpečnosťou pre seniorov a ich rodiny, ktoré chcú chrániť svojich blízkych pred potenciálnymi hrozbami online prostredia.

Podľa prieskumu Inštitútu pre verejné otázky (IVO) za posledné roky stúpol podiel používateľov internetu medzi seniormi. V súčasnosti využíva internet až 70 % z nich. Výsledky prieskumu zároveň odhalili, že pre významnú časť seniorov je typické ignorovanie bezpečnostných hrozieb, ktoré s využívaním technológií súvisia. Takisto je pre mnohých seniorov príznačné ignorovanie bezpečnostných opatrení, a to aj napriek tomu, že ich poznajú. Seniori patria ku skupinám mimoriadne zraniteľným kybernetickými hrozbami. Útočníci zneužívajú ich dôverčivosť a prirodzene zníženú schopnosť adaptovať sa vo svete technológií. V súčasnom zdigitalizovanom svete môže byť pre seniorov zároveň náročné zorientovať sa a porozumieť témam digitálnej bezpečnosti. ESET preto pripravil obsah, ktorý seniorom a ich blízkym poskytne zrozumiteľné, jednoduché a prehľadné postupy, vďaka ktorým sa dokážu chrániť pred nástrahami online sveta a bezpečne využívať moderné technológie.

Takže im určite tento portál a novú sekciu ukážte, nech neprídu o peniaze, dáta a spomienky, ale aj dôveru v ľudí. Pretože surfovanie online svetom by nemalo byť iba zaujímavé, ale hlavne bezpečné.