Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении новой операции в рамках кампании с использованием шпионского программного обеспечения на Ближнем Востоке. Авторами угрозы, вероятно, является группа киберпреступников, известная как Gaza Hackers или Molerats.
Инструмент злоумышленников — приложение Welcome Chat для Android, которое является шпионским программным обеспечением и имеет функционал чата. Вредоносный веб-сайт, через который рекламируют и распространяют это приложение, предлагает защищенный чат, который якобы доступен в магазине Google Play. По данным исследователей ESET, утверждение о безопасности этой платформы для общения является ложным.
«Кроме того, что Welcome Chat был шпионской программой, его операторы размещали данные жертв в свободном доступе в Интернете. Также, приложение никогда не было доступно в официальном магазине для Android», — комментирует Лукаш Штефанко, исследователь ESET, который занимался анализом шпионской программы Welcome Chat.
Данное шпионское ПО ведет себя как любое другое приложение для общения, загруженное не из Google Play: для его установки в настройках устройства необходимо разрешить установку программ из неизвестного источника. После инсталляции вредоносное приложение требует разрешения на отправку и просмотр SMS-сообщений, доступ к файлам и записи аудио, а также контактам и местонахождению устройства. Сразу после получения разрешений шпионская программа Welcome Chat начинает получать команды из своего командного сервера (C&C) и загружать туда любую собранную информацию. Кроме сообщений из чатов, программа похищает отправленные и полученные SMS-сообщения, историю звонков, список контактов, фотографии, записи телефонных звонков и местонахождение устройства.
«К сожалению, шпионская программа Welcome Chat, включая ее инфраструктуру, была создана без учета мер безопасности. Поэтому данные, которые передаются, не шифруются и из-за этого к ним могут получить доступ не только злоумышленники, но и кто-угодно из той же сети», — рассказывает Лукаш Штефанко.
Исследователи ESET пытались выяснить, является ли Welcome Chat троянизованной версией безопасной программы или вредоносным приложением, разработанным злоумышленниками с нуля. «Мы сделали все возможное, чтобы восстановить первоначальную версию этого приложения и понять уязвимости разработчиков. Однако, догадываемся, что ее не существует. Конечно, мы не пытались обратиться к злоумышленникам, которые осуществляли операцию», — объясняет Лукаш Штефанко.
Welcome Chat принадлежит к известному семейству вредоносных программ для Android и использует общую инфраструктуру с другой кампанией под названием BadPatch, которая также нацелена на Ближний Восток. Авторство BadPatch приписывают группе киберпреступников Gaza Hacker, также известной как Molerats. На основе этого специалисты ESET сделали вывод, что шпионская программа Welcome Chat была создана этой же группой.
Несмотря на то, что шпионское приложение нацелено на Ближний Восток, специалисты ESET рекомендуют всем пользователям:
- устанавливать приложения только из магазина Google Play или официальных сайтов надежных поставщиков;
- обращать внимание на разрешения для приложений и с внимательностью относиться к тем, которые требуют разрешений за пределами своего функционала;
- использовать надежное программное обеспечение для защиты мобильных устройств.