Sliedrecht, 1 oktober 2020 – ESET-onderzoekers hebben een nieuwe versie van Android-spyware geanalyseerd die wordt gebruikt door APT-C-23, een criminele groepering die sinds ten minste 2017 actief is en die voornamelijk gericht is op het Midden-Oosten. De onthulde spyware, gedetecteerd door ESET-beveiligingsoplossingen als Android/SpyC23.A, bouwt voort op eerder gerapporteerde versies met uitgebreide spionage-functionaliteit, nieuwe stealth-functies en bijgewerkte C&C-communicatie mogelijkheden. Eén van de manieren waarop de spyware wordt gedistribueerd is via een frauduleuze Android-appstore, waarbij bekende messaging apps, zoals Telegram en Threema, als lokmiddel worden gebruikt.
ESET-onderzoekers zijn de malware gaan bestuderen toen een collega-onderzoeker in april 2020 een tweet plaatste over een onbekend, weinig gedetecteerd Android-malwaresample. “Een gezamenlijke analyse toonde aan dat deze malware deel uitmaakte van het APT-C-23 arsenaal - een nieuwe, verbeterde versie van hun mobiele spyware,” verklaart Lukáš Štefanko, de ESET-onderzoeker die Android/SpyC23.A. analyseerde.
De spyware werd aangetroffen achter schijnbaar legitieme apps in een neppe Android-appstore. “Toen we de fake store analyseerden, bevatte deze zowel kwaadaardige als schone items. De malware zat verborgen in apps die zich voordeden als AndroidUpdate, Threema en Telegram. In sommige gevallen zou het slachtoffer zowel de malware als de imitatie-app geïnstalleerd hebben,” aldus Štefanko.
Na de installatie vraagt de malware om toestemming te geven op een reeks gevoelige set permissies, vermomd als beveiligings- en privacyfuncties. “De aanvallers gebruikten social engineering-technieken om de slachtoffers te verleiden de malware verschillende sensitieve rechten toe te kennen. Zo wordt bijvoorbeeld de toestemming om meldingen te lezen gemaskeerd als een functie voor het versleutelen van berichten,” licht Štefanko toe.
Eenmaal geïnstalleerd kan de malware een reeks spionageactiviteiten uitvoeren op basis van commando’s van de aanvaller. Naast het opnemen van audio, het exfiltreren van gesprekslogs, sms’jes en contactpersonen en het stelen van bestanden, kan de bijgewerkte Android/SpyC23.A ook meldingen van messaging-apps lezen, scherm- en gespreksopnames maken en meldingen van sommige ingebouwde Android-beveiligingsapps negeren. De C&C-communicatie van de malware heeft ook een update ondergaan, waardoor de C&C-server moeilijker te identificeren is voor beveiligingsonderzoekers.
De APT-C-23 groep staat bekend om haar gebruik van zowel Windows- als Android-componenten, waarbij de Android-componenten in 2017 voor het eerst beschreven zijn door Qihoo 360 Technology onder de naam Two-tailed Scorpion. Sindsdien zijn er meerdere analyses van APT-C-23’s mobiele malware gepubliceerd. Android/SpyC23.A, de nieuwste spywareversie van de groep, bevat verschillende verbeteringen die het nog gevaarlijker maken voor potentiële slachtoffers.
“Om veilig te zijn ten aanzien van spyware adviseren wij Android-gebruikers om alleen apps te installeren vanuit de officiële Google Play Store, de gevraagde toestemmingen altijd te controleren en een betrouwbare en up-to-date mobiele securityoplossing te gebruiken,” besluit Štefanko.
Voor meer technische details over deze spyware lees de blogpost “APT-C-23 group evolves its Android spyware” op WeLiveSecurity of neem direct contact op met Saranda Walgaard.
Over ESET
Al 30 jaar lang ontwikkelt
toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D-centra over de hele wereld, is ESET het eerste IT-beveiligingsbedrijf dat heeft verdiend, waarmee elke afzonderlijke “in-the-wild” malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar of volg ons op , en .