Команды безопасности наблюдают резкий рост кампаний шпионских программ для Android, которые нацелены на пользователей, заботящихся о конфиденциальности, выдавая себя за надежные мессенджеры. Среди целей этой кампании оказались такие популярные приложения как Signal и ToTok. Зловредные приложения под маской этих программ запрашивают широкие разрешения, что делает их особенно опасными.
Методы распространения
Распространение AndroidSpy опирается на методы социальной инженерии, такие как фишинговые веб-сайты и фальшивые магазины приложений, побуждающие пользователей к боковой загрузке подозрительных APK-файлов. Были выявлены две основные семьи шпионских программ: AndroidSpy.ProSpy, которая маскируется под плагины Signal и ToTok, и AndroidSpy.ToSpy, выступающая как отдельное приложение ToTok.
Домен signal.ct.ws и сайт encryption-plugin-signal.com-ae.net распределяли ProSpy как ложный “Signal Encryption Plugin”, в то время как варианты ToSpy распространялись на сайтах, имитирующих Samsung Galaxy Store. Кампании, по всей видимости, фокусируются на регионах, таких как Объединенные Арабские Эмираты.
Опасности для пользователей
После установки приложений, они запрашивают доступ к контактам, сообщениям SMS, файловому хранилищу и информации об устройстве. Получив доступ, программы собирают данные об оборудовании и операционной системе, резервные копии чатов, медиафайлы, документы и списки установленных приложений. Специально в ToTok-ориентированное шпионское ПО нацеливается на файлы “.ttkmbackup”.
Обнаруженные шпионские программы используют жестко закодированное шифрование AES-CBC с ключом p2j8w9savbny75xg для передачи данных через HTTPS POST-команды на серверы управления и контроля. Инфекция осуществляется посредством искусных манипуляций с пользователями и ручной установке APK-файлов. Программы регистрируют службы на переднем плане, используют записи activity-alias, чтобы маскироваться под “Play Services”, и настраивают AlarmManager и BOOT_COMPLETED для поддержания своего присутствия на устройстве.
Пользователям настоятельно рекомендуется избегать боковой загрузки приложений из недоверенных источников и всегда использовать функции Play Protect для защиты своих устройств.
