Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення нової операції в рамках кампанії з використанням шпигунського програмного забезпечення на Близькому Сході. Авторами загрози, імовірно, є група кіберзлочинців, відома як Gaza Hackers або Molerats.
Інструмент зловмисників — додаток Welcome Chat для Android, який є шпигунським програмним забезпеченням та має функціонал чату. Шкідливий веб-сайт, через який рекламують та поширюють цей додаток, пропонує захищений чат, який нібито доступний в магазині Google Play. За даними дослідників ESET, твердження про безпечність цієї платформи для спілкування є неправдивим.
«Окрім того, що Welcome Chat був шпигунською програмою, його оператори розміщували дані жертв у вільному доступі в Інтернеті. Також, додаток ніколи не був доступний в офіційному магазині для Android», — коментує Лукаш Штефанко, дослідник ESET, який займався аналізом шпигунської програми Welcome Chat.
Дане шпигунське ПЗ поводиться як будь-який інший додаток для спілкування, завантажений не із Google Play: для його встановлення в налаштуваннях пристрою необхідно дозволити встановлення програм з невідомого джерела. Після інсталяції шкідливий додаток вимагає дозволу на надсилання та перегляд SMS-повідомлень, доступ до файлів та запису аудіо, а також контактів та місцезнаходження пристрою. Одразу після отримання дозволів шпигунська програма Welcome Chat починає отримувати команди зі свого командного сервера (C&C) та завантажувати туди будь-яку зібрану інформацію. Окрім повідомлень з чатів, програма викрадає надіслані та отримані SMS-повідомлення, історію дзвінків, список контактів, фотографії, записи телефонних дзвінків та місцезнаходження пристрою.
«На жаль, шпигунська програма Welcome Chat, включаючи її інфраструктуру, була створена без урахування заходів безпеки. Тому дані, які передаються, не шифруються і через це до них можуть отримати доступ не тільки зловмисники, але і будь-хто з тієї ж мережі», — розповідає Лукаш Штефанко.
Дослідники ESET намагалися з’ясувати, чи Welcome Chat є троянізованою версією безпечної програми чи шкідливим додатком, розробленим зловмисниками з нуля. «Ми зробили все можливе, щоб відновити початкову версію цього додатка та зрозуміти уразливості розробників. Однак, здогадуємось, що її не існує. Звісно, ми не намагались звернутися до зловмисників, які здійснювали операцію», — пояснює Лукаш Штефанко.
Welcome Chat належить до відомого сімейства шкідливих програм для Android та використовує спільну інфраструктуру з іншою кампанією під назвою BadPatch, яка також націлена на Близький Схід. Авторство BadPatch приписують групі кіберзлочинців Gaza Hacker, також відомій як Molerats. На основі цього спеціалісти ESET зробили висновок, що шпигунська програма Welcome Chat була створена цією ж групою.
Незважаючи на те, що шпигунський додаток націлений на Близький Схід, спеціалісти ESET рекомендують усім користувачам:
- встановлювати додатки лише з магазину Google Play або офіційних сайтів надійних постачальників;
- звертати увагу на дозволи для додатків та з уважністю ставитись до тих, які вимагають дозволів поза межами свого функціоналу;
- використовувати надійне програмне забезпечення для захисту мобільних пристроїв.