Sikkerhed forskere opdaget en ny trussel kaldet Dardesh der udgør som en legitim app og er i øjeblikket tilgængelig på Google Play Store. Den malware eksempel er beskrevet som en chat app og har formået at narre mange brugere til at downloade det. Når dette er gjort den aktiverer sin indbygget spion modul og begynder at kortlægge ofrene i realtid.
Den spionage Dardesh Android App Incident Revealed
Malware forskere opdaget, at en ny trussel har været i stand til at trænge ind i Google Play Butik. Det er en færdig overvågning værktøj, der er maskeret som en chat applikation. Ifølge sikkerhedsspecialist den tilhører en bestemt familie af trusler kaldet “Desert Scorpion”. Analysen afslører, at den vigtigste fordeling metoden var en falsk Facebook-profil, der er udstationering links til det. Hackeren eller kriminelle kollektiv bag angrebet bruge det arabiske sprog med henblik på at linke til truslen.
Når den er lastet på offeret enheder en sekundær scriptet som er designet til at fremstå som en generisk “indstillinger” ansøgning. Den åbnes automatisk og begynder at foretage konstant overvågning af ofrene. Operatørerne modtage enhedens placering i realtid, og de kan også også optage opkald (både lyd og video). Den trojanske instans har også vist sig at være i stand til at hente oplysninger såsom gemte filer, SMS-beskeder og kontooplysninger. Som Dardesh app har opnået administrative legitimationsoplysninger det kan også afinstallere og ændre den installerede software.
Efter malware rapport blev sendt til Google det er siden blevet taget ned af administratorerne. The Play Protect Security Suite har også modtaget patches, der indeholder dens underskrift og kan advare brugere i fremtiden, hvis der findes nogen kopier.
Dardesh Android Malware tilsigtede mål
Forskerholdet, der afslørede de Dardesh infektioner rapporterer, at angrebene formentlig er lavet af en hacking gruppe kaldet APT-C-23. The Desert Scorpion kode smittet i dette særlige tilfælde ser ud til at være en del af en større skala mål angreb mod mellemøstlige individer. Det fremgår, at det vigtigste mål synes at være Palæstina. Under analysen af den malware Facebook profil holdet fandt ud af, at det har været tidligere at poste links til en anden Android malware, der hører til den frosne Cell familie af trusler. Det menes, at det er udviklet af den samme kriminelle kollektiv. De malware-servere, der bruges af både familier bruge de samme IP-blokke.
Tilgangen af adskille malware funktionalitet i flere komponenter gør det sværere at opdage ved autonom sikkerhedssoftware. Da angrebene kombinere både en etape levering metode og social engineering svindel.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: