Експерти виявили нову шкідливу кампанію з використанням шпигунського програмного забезпечення на Близькому Сході. Авторами загрози, імовірно, є група кіберзлочинців, відома як Gaza Hackers або Molerats.
Інструмент зловмисників — додаток Welcome Chat для Android, який є шпигунським програмним забезпеченням та має функціонал чату. Шкідливий веб-сайт, через який рекламують та поширюють цей додаток, пропонує захищений чат, який нібито доступний в магазині Google Play. За даними дослідників ESET, твердження про безпечність цієї платформи для спілкування є неправдивим.
“Окрім того, що Welcome Chat був шпигунською програмою, його оператори розміщували дані жертв у вільному доступі в Інтернеті. Також, додаток ніколи не був доступний в офіційному магазині для Android”, — коментує Лукаш Штефанко, дослідник ESET, який займався аналізом шпигунської програми Welcome Chat.
Дане шпигунське ПЗ поводиться як будь-який інший додаток для спілкування, завантажений не із Google Play: для його встановлення в налаштуваннях пристрою необхідно дозволити встановлення програм з невідомого джерела. Після інсталяції шкідливий додаток вимагає дозволу на надсилання та перегляд SMS-повідомлень, доступ до файлів та запису аудіо, а також контактів та місцезнаходження пристрою. Одразу після отримання дозволів шпигунська програма Welcome Chat починає отримувати команди зі свого командного сервера (C&C) та завантажувати туди будь-яку зібрану інформацію. Окрім повідомлень з чатів, програма викрадає надіслані та отримані SMS-повідомлення, історію дзвінків, список контактів, фотографії, записи телефонних дзвінків та місцезнаходження пристрою.
“На жаль, шпигунська програма Welcome Chat, включаючи її інфраструктуру, була створена без урахування заходів безпеки. Тому дані, які передаються, не шифруються і через це до них можуть отримати доступ не тільки зловмисники, але і будь-хто з тієї ж мережі”, — розповідає Лукаш Штефанко.
Welcome Chat належить до відомого сімейства шкідливих програм для Android та використовує спільну інфраструктуру з іншою кампанією під назвою BadPatch, яка також націлена на Близький Схід. Авторство BadPatch приписують групі кіберзлочинців Gaza Hacker, також відомій як Molerats.
Незважаючи на те, що шпигунський додаток націлений на Близький Схід, спеціалісти рекомендують усім користувачам:
- встановлювати додатки лише з магазину Google Play або офіційних сайтів надійних постачальників;
- звертати увагу на дозволи для додатків та з уважністю ставитись до тих, які вимагають дозволів поза межами свого функціоналу;
- використовувати надійне програмне забезпечення для захисту мобільних пристроїв.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЯК ОЧИСТИТИ КЕШ ТА ФАЙЛИ COOKIES У БРАУЗЕРІ FIREFOX? – ІНСТРУКЦІЯ
ПОРАДИ ЩОДО ОРГАНІЗАЦІЇ СВОЇХ ДОДАТКІВ ДЛЯ IPHONE АБО IPAD
ЯК ЗАПОБІГТИ ДЕФРАГМЕНТАЦІЇ ТВЕРДОТІЛОГО НАКОПИЧУВАЧА SSD? ІНСТРУКЦІЯ
НАВІЩО ПОТРІБЕН МЕНЕДЖЕР ПАРОЛІВ ТА ЯК ПРАВИЛЬНО ЙОГО ОБРАТИ?
ЯК ЗАБОРОНИТИ GOOGLE ЗБИРАТИ ВАШІ ДАНІ ТА НАЛАШТУВАТИ ЇХНЄ АВТОВИДАЛЕННЯ? ІНСТРУКЦІЯ
Ноутбук та рідина – це погана комбінація, але трапляються випадки, коли вони все ж таки “об’єднуються”. Про те, що робити, якщо це сталося, читайте у статті.
Також після тестування стало відомо, що надзвичайно популярний сьогодні додаток – TikTok, зберігає вміст буфера обміну кожні кілька натискань клавіш. Цей факт насторожив багатьох користувачів, але TikTok лише один із 53 додатків, які зберігають інформацію про користувачів таким чином.
Стало відомо, що мешканець Житомирщини підмінив міжнародного мобільного трафіку на понад півмільйона гривень. Крім цього, встановлено інші злочинні осередки які здійснюють підміну міжнародного трафіку в різних регіонах країни.
До речі, хакери використовували шкідливе програмне забезпечення, через яке викрадали реквізити банківських електронних рахунків громадян США, Європи, України та їхні персональні дані. Зокрема, через електронні платіжні сервіси, у тому числі заборонені в Україні російські, вони переводили викрадені гроші на власні рахунки у вітчизняних та банках РФ і привласнювали.
Хакери зараз користуються сервісом Google Analytics для крадіжки інформації про кредитні картки із заражених сайтів електронної комерції. Відповідно до звітів PerimeterX та Sansec, хакери зараз вводять шкідливий код, призначений для крадіжки даних на компрометованих веб-сайтах.
