セキュリティ研究者は、正規のアプリを装い、現在GooglePlayストアで入手できるDardeshと呼ばれる新しい脅威を発見しました。. マルウェアインスタンスはチャットアプリとして説明されており、多くのユーザーをだましてダウンロードさせています。. これが行われると、組み込みのスパイモジュールがアクティブになり、被害者のリアルタイム調査が開始されます.
スパイダーデッシュAndroidアプリインシデントが明らかに
マルウェアの研究者は、新しい脅威がGooglePlayストアに侵入する可能性があることを発見しました. チャットアプリケーションとしてマスクされた既製の監視ツールです. セキュリティスペシャリストによると、それはと呼ばれる脅威の特定のファミリーに属しています “デザートスコーピオン”. 分析の結果、主な配布方法は、リンクを投稿している偽のFacebookプロファイルであったことが明らかになりました。. 攻撃の背後にいるハッカーまたは犯罪集団は、脅威にリンクするためにアラビア語を使用します.
被害者のデバイスにロードされると、ジェネリックとして表示されるように設計されたセカンダリスクリプトが実行されます “設定” 応用. それは自動的に開始され、犠牲者の継続的な監視を開始します. オペレーターはデバイスの位置をリアルタイムで受け取り、通話を録音することもできます (オーディオとビデオの両方). トロイの木馬インスタンスは、保存されたファイルなどの情報を取得できることも判明しています。, テキストメッセージとアカウントの資格情報. Dardeshアプリは管理者の資格情報を取得しているため、インストールされているソフトウェアをアンインストールして変更することもできます.
マルウェアレポートがGoogleに送信された後、管理者によって削除されました. Play Protectセキュリティスイートは、その署名を含むパッチも受け取り、重複するコピーが見つかった場合に将来ユーザーに警告することができます.
DardeshAndroidマルウェアの対象ターゲット
Dardeshの感染を発見した研究チームは、攻撃はおそらくハッキンググループによって行われたと報告しています。 APT-C-23. この特定のインスタンスで感染したDesertScorpionコードは、中東の個人に対する大規模な標的攻撃の一部であるように見えます. 主な標的はパレスチナのようです. マルウェアのFacebookプロファイルの分析中に、チームは以前、FrozenCellファミリーの脅威に属する別のAndroidマルウェアへのリンクを投稿していたことを発見しました。. 同じ犯罪集団によって開発されたと考えられています. 両方のファミリで使用されるマルウェアサーバーは同じIPブロックを使用します.
マルウェアの機能をいくつかのコンポーネントに分離するアプローチでは、自律型セキュリティソフトウェアによる発見が困難になります. 攻撃はステージ配信方法とソーシャルエンジニアリング詐欺の両方を組み合わせているため.
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: