Experti varují: Android uživatelé jsou ohroženi falešnou aplikací Telegram
- Ve světě Androidu byl objeven nový, nebezpečný trojan
- Stojí za ním známá skupina hackerů StrongPity
- Tento záškodník je schopný sledovat uživatele opravdu podrobně
Objevení tohoto nového trojského koně mají na svědomí analytici společnosti ESET a jeho původ vede ke skupině StrongPity. Tato záškodnická kampaň byla distribuována pomocí trojanizované, ale plně funkční aplikace Telegram a backdoor, kterým skupina útočí, funguje modulárně a má řadu špionážních funkcí.
Útok přes Telegram
Výzkumníkům společnosti ESET se povedlo přijít na to, že skupina StrongPity využívá k šíření tohoto záškodníka plně funkční, trojanizovanou verzi legitimní aplikace Telegram. Útočníci ji vydávají za aplikaci, jenž je možné stáhnout z falešného webu napodobující stránky Shagle, a to i přesto, že žádná oficiální verze této aplikace neexistuje.
StrongPity spadá mezi APT skupiny (Advanced Persistent Threat), což je označení pro skupiny, které se pokročilými technikami snaží získat data konkrétních cílů, nejčastěji za účelem kyberšpionáže. Tyto skupiny bývají často sponzorovány různými státy a backdoor, který útočníci v tomto případě používají, má rozličné špionážní schopnosti.
Čtěte také: Riot Games bojuje s hackery. Ukradli zdrojový kód League of Legends a požadují výkupné
Trojan, který nakoukne všude
Zadní vrátka využívaná v této kampani toho umí opravdu hodně. Mají 11 dynamicky spouštěných modulů, pomocí kterých dokáže nahrávat telefonní hovory, shromažďovat SMS zprávy, seznamy hovorů nebo dokonce kontaktů. Kromě toho můžou útočníci také získat přístup ke konverzacím uživatelů v chatu.
Pokud totiž oběť udělí škodlivé aplikaci dodatečná oprávnění, získá přístup k notifikacím 17 dalších aplikací, jako jsou například Viber, Skype, Gmail nebo Messenger. Na rozdíl od pravé webové stránky Shagle, která nenabízí oficiální mobilní aplikaci pro přístup ke svým službám, nabízí napodobenina těchto webových stránek falešnou aplikaci Telegram.
Mimo Google Play
Trojanizovaná aplikace Telegram nebyla nikdy dostupná v obchodě Google Play, pravděpodobně proto, aby se útočníci vyhnuli odhalení a ke stažení je jen přes falešný web Shagle. Použitý backdoor je modulární a dodatečné binární moduly jsou stahovány z řídícího serveru. Počet a typ použitých modulů může být kdykoli změněn tak, aby vyhovoval požadavkům kampaně, a to i v jejím průběhu.
Během analýzy ESETu již nebyl malware z falešných webových stránek aktivní a nebylo tak možné úspěšně nainstalovat a spustit funkce backdooru. Je to proto, že skupina StrongPity nezískala pro svou trojanizovanou verzi aplikace Telegram vlastní API ID. To se však může kdykoliv změnit.
Autor článku
Jsem příznivcem veškeré elektroniky, hlavně telefonů, počítačů a hardwaru obecně. Dále pak hráč tělem i duší, občasný sportovec a velký filmový fanda.
Jsem příznivcem veškeré elektroniky, hlavně telefonů, počítačů a hardwaru obecně. Dále pak hráč tělem i duší, občasný sportovec a velký filmový fanda.
Komentáře
