כ' חשון התשפ"ה
21.11.2024
אלו השמות שלהן

מחקר חדש: 12 אפליקציות בחנות ההורדות שימשו לריגול

האפליקציות הורדו יותר מ-1,400 הורדות ואפשרו גישה מרחוק למכשירים. על בסיס ההרשאות הניתנות לאפליקציה אליה מצורף הקוד של הקבוצה. הקוד גונב אנשי קשר, יומני שיחות והודעות סמס, אך בחלק מגרסאותיו יכול לגנוב גם הודעות ב-WhatsApp וב-Signal, להקליט שיחות ולצלם תמונות באמצעות מצלמת הטלפון | כל הפרטים

מחקר חדש: 12 אפליקציות בחנות ההורדות שימשו לריגול
אילוסטרציה צילום: unsplash

חוקרי חברת אבטחת המידע ESET זיהו 12 אפליקציות ריגול ל-Android שהשתמשו בקוד זדוני זהה, כש-6 מהן היו זמינות להורדה ב-Google Play. כל האפליקציות שזוהו פורסמו ככלים להעברת מסרים מיידיים, מלבד אפליקציה אחת שהתחזתה לאפליקציית חדשות. אפליקציות אלה הפעילו ברקע סוס טרויאני לגישה מרחוק (RAT) בשם VajraSpy, ששימש לריגול ממוקד ע״י קבוצת התקיפה ״Patchwork״. הקמפיין כוון בעיקר למשתמשים בפקיסטן.

על פי המחקר של ESET, סביר כי הגורמים הזדוניים שעומדים מאחורי האפליקציות המודבקות השתמשו בהונאה מתוחכמת מסוג ״מלכודת דבש״ כדי לגרום לקורבנות להתקין את הנוזקה.

לקבוצת VajraSpy יש מגוון של יכולות ריגול הניתנות להרחבה על בסיס ההרשאות הניתנות לאפליקציה אליה מצורף הקוד של הקבוצה. הקוד גונב אנשי קשר, יומני שיחות והודעות סמס, אך בחלק מגרסאותיו יכול לגנוב גם הודעות ב-WhatsApp וב-Signal, להקליט שיחות ולצלם תמונות באמצעות מצלמת הטלפון.

unsplashאילוסטרציהצילום: unsplash

על פי הנתונים הזמינים כיום, האפליקציות הזדוניות הורדו מעל 1,400 פעמים מחנות Google Play. במהלך המחקר של ESET ואבטחה חלשה של אחת מהתוכנות הובילה לחשיפת נתונים של אחד מהקורבנות, מה שאפשר לחוקרים לאתר את מיקומם של 148 מכשירים שנפרצו בפקיסטן ובהודו. סביר להניח שאלו הן המטרות האמיתיות של המתקפות.

חברת ESET היא חברה בהתאחדות להגנה על אפליקציות ושותפה פעילה בתוכנית לצמצום נוזקות, שמטרתה היא איתור מהיר של אפליקציות החשודות כזדוניות ועצירתן לפני הגעתן לחנות האפליקציות Google Play. כשותפה בהתאחדות ההגנה על אפליקציות של גוגל, ESET זיהתה את האפליקציות הזדוניות ודיווחה עליהן לגוגל, וכיום הן אינן זמינות יותר להורדה בחנות. עם זאת, האפליקציות עדיין זמינות להורדה בחנויות אפליקציות אלטרנטיביות.

unsplashאילוסטרציהצילום: unsplash

בשנה האחרונה, ESET זיהתה אפליקציית חדשות בשם Rafaqat הנגועה בסוס טרויאני ונועדה לגנוב מידע על משתמשים. מחקר מעמיק יותר חשף מספר אפליקציות עם קוד זדוני דומה. בסך הכל, ב-ESET ניתחו 12 אפליקציות מודבקות, כש-6 מהן (וביניהן Rafaqat) היו זמינות להורדה ב-Google Play, ו-6 אחרות נמצאו מחוץ לחנויות – בבסיס הנתונים של VirusTotal.

שימו לב! לאפליקציות האלה היו שמות שונים, ביניהם – Privee TalkMeetMeLet’s ChatQuick ChatRafaqatChit ChatYohooTalkTikTalkHello ChatNidusGlow Chat ו-Wave Chat.

ככל הנראה, הגורמים הזדוניים שאחראים לקמפיין השתמשו בהונאה מסוג ״מלכודת דבש״ כדי לפתות את קורבנותיהן. בהתחלה, הם יצרו קשר עם הקורבנות בפלטפורמה אחרת ושכנעו אותם לעבור לאפליקציית הצ׳ט הזדונית.

לוקאס סטפנקו, חוקר ESET שגילה את הנוזקה מסביר כי ״לפושעי סייבר יש כלי חזק במיוחד – הנדסה חברתית. אנו ממליצים בחום להימנע מלהקליק על קישורים שנשלחים בהודעת צ׳ט להורדת תוכנות או אפליקציות ותמיד כדאי להיות ערניים״.

חברת ESET אפליקציות זדוניות חנות אפליקציות Google Play הונאות השתלטות סייבר

art

'בחדרי' גם ברשתות החברתיות - הצטרפו!

הוספת תגובה

לכתבה זו טרם התפרסמו תגובות

תגובות

הוסיפו תגובה
{{ comment.number }}.
{{ comment.date_parsed }}
הגב לתגובה זו
{{ reply.date_parsed }}