Иранская кибергруппировка начала использовать кастомный Android-шпион

Иранская кибергруппировка начала использовать кастомный Android-шпион

Иранская кибергруппировка начала использовать кастомный Android-шпион

Иранская кибергруппировка APT42 начала использовать в атаках кастомную вредоносную программу для мобильных устройств на Android. С помощью нового шпионского софта злоумышленникам удаётся следить за представляющими интерес людьми.

По словам специалистов компании Mandiant, им удалось собрать достаточно данных, указывающих на связь APT42 с властями Ирана. Участники группы занимаются кибершпионажем и следят за деятельностью людей и организаций в интересах своей страны.

Впервые атаки APT42 удалось зафиксировать семь лет назад, когда исследователи вышли на серию кампаний целевого фишинга. В ходе этих операций атаковались чиновники, политики, журналисты и учёные по всему миру.

Основная задача атакующих — выкрасть учётные данные от аккаунтов цели. Тем не менее в ряде случаев киберпреступники использовали кастомный вредонос для мобильной операционной системы Android, с помощью которого можно отслеживать владельца девайса, получать доступ к хранилищу устройства и извлекать переписки.

По данным Mandiant, с 2015 года участники APT42 провели как минимум 30 киберопераций в 14 странах. Есть мнение, что это лишь малая часть от того масштаба атак, который реально генерирует группировка.

 

Кастомный Android-вредонос, который начал недавно фигурировать в атаках APT42, позволяет более пристально отслеживать представляющие интерес цели. С помощью софта злоумышленники могут перехватывать голосовые вызовы, СМС-сообщения, а также ежедневно записывать аудио.

Как отметили в Mandiant, зловред преимущественно распространяется через ссылки в СМС-сообщениях. В качестве приманки пользователю обещают VPN-приложение или мессенджер, помогающий обходить блокировку веб-ресурсов.

 

«Кастомный Android-вредонос помогает киберпреступникам получать дополнительную информацию о целях. С помощью шпионского софта можно следить за перемещением пользователя, считывать его контакты и любые персональные данные», — пишут в отчёте (PDF) специалисты.

«Звонки вредонос записывает с помощью встроенного микрофона, а фотографии делает на камеру устройства. Кроме того, все снимки, хранящиеся на девайсе, попадают в руки операторов шпионского софта».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники выдают свои кол-центры за техподдержку Госуслуг

Охотники за СМС-кодами, открывающими вход в аккаунты, добавили новый штрих к своим схемам обмана. Обнаружены онлайн-справочники с фейковыми номерами телефона поддержки «Госуслуг», по которым отвечают мошенники.

Как выяснил DLBI, для повышения позиций таких сайтов в поисковой выдаче используются методы черной оптимизации (black SEO).

Злоумышленники также могут прислать СМС с поддельным контактом службы техподдержки, сообщив от ее имени о неудачной попытке входа или о взломе аккаунта. Тревожная весть способна заставить получателя забыть о бдительности.

При звонке на указанный номер собеседник (оператор мошеннического кол-центра) постарается под тем или иным предлогом выманить у владельца аккаунта искомый одноразовый код.

«Пока от массового применения таких схем нас отделяют относительно высокая сложность организации масштабных СМС-рассылок, а также трудоемкость и длительность поискового продвижения поддельных сайтов, — комментирует основатель сервиса DLBI Ашот Оганесян. — Однако, если те тесты, которые мы видим сейчас, покажут мошенникам эффективность, техническое решение будет найдено, так же, как сим-боксы заменили VoIP-телефонию после ограничения международного трафика».

Чтобы не попасть в ловушку, владельцам личного кабинета на портале госуслуг советуют скопировать телефон техподдержки в свой список контактов и пользоваться только им.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru