I ricercatori di sicurezza hanno scoperto una nuova minaccia nota come Dardesh che pone come un app legittima ed è attualmente disponibile sul Google Play Store. L'istanza di malware è descritto come una chat app ed è riuscito a ingannare molti utenti in scaricandolo. Quando questo è fatto si attiva il suo modulo incorporato spia e inizia per sorvegliare le vittime in tempo reale.
Lo Spionaggio Dardesh App Android Incident Rivelato
i ricercatori di malware hanno scoperto che una nuova minaccia è stata in grado di penetrare il Google Play Store. È uno strumento di sorveglianza pronta all'uso che viene mascherato come un'applicazione di chat. Secondo lo specialista di sicurezza che appartiene ad una famiglia specifica di minacce chiamato “Desert Scorpion”. L'analisi rivela che il metodo di distribuzione principale era un profilo Facebook contraffatta che è la pubblicazione di link ad esso. L'hacker o collettiva criminale dietro l'attacco utilizzano la lingua araba al fine di collegare alla minaccia.
Una volta caricata sulle periferiche vittima viene eseguito uno script secondario destinato ad apparire come un generico “Impostazioni” applicazione. Esso viene avviato automaticamente e inizia a condurre la sorveglianza costante delle vittime. Gli operatori ricevono la posizione del dispositivo in tempo reale e possono anche registrare le chiamate anche (sia audio che video). L'istanza di Troia è stata trovata anche per essere in grado di recuperare informazioni come file memorizzati, messaggi di testo e le credenziali di account. Come l'applicazione Dardesh ha ottenuto le credenziali amministrative può anche disinstallare e modificare il software installato.
Dopo la relazione del malware è stata presentata al Google da allora è stato tirato giù dagli amministratori. La suite di sicurezza Giocare Proteggere ha anche ricevuto le patch che contengono la sua firma e in grado di mettere in guardia gli utenti in futuro, se vengono trovati copie duplicate.
Dardesh Android Malware obiettivi previsti
Il team di ricerca ha scoperto che le infezioni Dardesh riferiscono che gli attacchi sono probabilmente realizzati da un gruppo di hacking chiamato APT-C-23. Il codice deserto Scorpion infettati in questo caso particolare sembra essere parte di un attacco bersaglio più grande scala contro gli individui del Medio Oriente. Sembra che l'obiettivo principale sembra essere la Palestina. Durante l'analisi del malware profilo di Facebook il team ha scoperto che è stato in precedenza per postare link a un altro malware per Android che appartiene alla famiglia delle cellule congelata di minacce. Si ritiene che si è sviluppato dallo stesso collettivo criminale. I server di malware utilizzati da entrambe le famiglie utilizzano gli stessi blocchi IP.
L'approccio di separare la funzionalità del malware in diversi componenti rende più difficile per scoprire dal software di sicurezza autonoma. Mentre gli attacchi combinare sia un metodo di consegna palco e truffe di social engineering.