Beveiliging onderzoekers ontdekten een nieuwe dreiging die bekend staat als Dardesh die zich voordoet als een legitieme app en is momenteel beschikbaar in de Google Play Store. De malware bijvoorbeeld wordt beschreven als een chat-app en is erin geslaagd om een groot aantal gebruikers gek te downloaden. Wanneer dit is gebeurd, activeert de ingebouwde spy-module en begint aan de slachtoffers in real time overzien.
Het Spioneren Dardesh Android App Incident onthuld
Malware onderzoekers ontdekten dat een nieuwe bedreiging in staat zijn om de Google Play Store te dringen is geweest. Het is een kant-en-klare surveillance tool die wordt gemaskeerd als een chat-applicatie. Volgens de beveiligingsspecialist het behoort tot een specifieke familie van bedreigingen genoemd “Desert Scorpion”. Uit de analyse blijkt dat de hoofdverdeler methode was een vals Facebook-profiel dat is het plaatsen van links om het. De hacker of strafrechtelijke collectief achter de aanslag gebruik maken van de Arabische taal te kiezen om te koppelen aan de dreiging.
Zodra het op het slachtoffer apparaten wordt geladen een tweede script wordt uitgevoerd die is ontworpen om te verschijnen als een generiek “instellingen” toepassing. Hij wordt automatisch gestart en begint constant toezicht van de slachtoffers uit te voeren. De operators krijgen locatie van het apparaat in real time en ze kunnen ook ook gesprekken opnemen (zowel audio als video). De Trojan Zo is ook gevonden te kunnen ophalen, zoals de opgeslagen bestanden, SMS-berichten en accountgegevens. Omdat de Dardesh app beheerdersreferenties heeft verkregen kan het ook verwijderen en de geïnstalleerde software aan te passen.
Nadat de malware rapport naar Google werd ingediend, is het sindsdien naar beneden genomen door de beheerders. De Play Bescherm security suite heeft ook patches die zijn handtekening bevatten en kunnen gebruikers in de toekomst te waarschuwen als er dubbele exemplaren zijn gevonden.
Dardesh Android Malware beoogde doelstellingen
Het onderzoeksteam dat de Dardesh infecties ontdekt melden dat de aanslagen zijn waarschijnlijk gemaakt door een hack groep genaamd APT-C-23. De woestijnschorpioen code septisch in dit geval lijkt onderdeel van een grootschaliger doelwit aanval Midden-Oosten individuen. Het lijkt erop dat het belangrijkste doel lijken te Palestina. Tijdens de analyse van de malware Facebook-profiel van het team ontdekte dat het eerder is geweest om links naar andere Android-malware die behoort tot de Frozen Cell familie van bedreigingen te posten. Er wordt aangenomen dat het wordt ontwikkeld door dezelfde criminele collectieve. De malware servers die worden gebruikt door zowel gezinnen maken gebruik van dezelfde IP-blokken.
De aanpak van het scheiden van de malware functionaliteit in verschillende onderdelen maakt het moeilijker om te ontdekken door autonome beveiligingssoftware. Als de aanvallen te combineren zowel een podium levering methode en social engineering scams.