Kaspersky обнаружил атаку против мобильных устройств в Юго-Восточной Азии

Читать на сайте 1prime.ru

МОСКВА, 28 апр — ПРАЙМ. "Лаборатория Касперского" обнаружила целевую кампанию кибермошенников против мобильных устройств стран Юго-Восточной Азии, в рамках нее в магазинах приложений распространялось шпионское программное обеспечение (ПО), говорится в исследовании компании.

Компания начала расследование в июле 2019 года после появления отчёта сторонних специалистов о необычном шпионском ПО в Google Play. Эксперты обнаружили около 300 попыток заражения в Индии, Вьетнаме, Бангладеш и Индонезии. На первом месте по числу попыток атак оказался Вьетнам, некоторые из вредоносных образцов были написаны на вьетнамском языке.

"Обычно авторы зловредов, загрузив вредоносное приложение в легитимный магазин, инвестируют в его продвижение, чтобы увеличить число скачиваний и, как следствие, число жертв. Но не в этот раз. Авторы этого зловреда не были заинтересованы в массовом распространении, а значит, он использовался для APT-атаки (целевой — ред.). В ходе дальнейшего расследования эксперты обнаружили ещё десятки образцов со сходным кодом", — говорится в документе.

Цель кампании, получившей название PhantomLance, заключалась в сборе данных со смартфона жертвы. Базовая функциональность ПО включала в себя доступ к данным геолокации, журналу звонков, списку контактов и СМС пользователей. Зловред мог также получить список установленных приложений и информацию об устройстве — модель и версию ОС. На основании полученных исходных данных об устройстве злоумышленники могли отправлять на заражённое устройство дополнительные модули, расширяя функционал вредоносного ПО.

"PhantomLance распространялся главным образом с помощью разных мобильных платформ и магазинов, включая Google Play и APKpure, но не ограничивался ими. Для придания приложениям легитимного вида злоумышленники создавали фейковый профиль разработчика на Github, а чтобы обойти фильтры, они сначала загружали в магазины версии приложения без вредоносного кода, а затем уже вносили необходимые им обновления. "Лаборатория Касперского" сообщила обо всех обнаруженных образцах владельцам легитимных магазинов приложений. Google Play подтвердил, что данные приложения были удалены", — отмечается в сообщении.

По мнению Kaspersky, эта кампания представляет собой яркий пример того, как авторы сложных угроз используют всё более изощрённые техники, которые становится всё труднее обнаруживать.

"Кампания PhantomLance активна более пяти лет, и в течение этого времени злоумышленники обходили фильтры магазинов приложений с помощью хитроумных методов. Мы видим, что всё чаще целью шпионажа становятся мобильные платформы. Вот, почему очень важно улучшать потоки аналитических данных об угрозах и различные вспомогательные сервисы, которые помогают выявлять злоумышленников и искать точки пересечения между разными APT-кампаниями", — прокомментировал антивирусный эксперт "Лаборатории Касперского" Алексей Фирш.

Обсудить
Рекомендуем