Android / Spy23C.A
Android / Spy23C.A ist eine Bedrohung durch Android-Trojaner, mit der verschiedene sensible Daten von mobilen Android-Geräten infiltriert und erfasst werden sollen. Laut den Forschern, die es analysiert haben, ist diese besondere Bedrohung nicht ganz einzigartig. Stattdessen handelt es sich um eine modifizierte Version mit stark erweiterten Funktionen der zuvor erkannten Android-Bedrohung, die als Teil des Repertoires einer APT-Gruppe (Advanced Persistent Threat) namens APT-C-23 (auch bekannt als Two-Tailed Scorpion oder Desert Scorpion) beobachtet wurde ). Die früheren Bedrohungskampagnen von APT-C-23 richteten sich an Benutzer im Nahen Osten, und Android / Spy23C.A wurde auf ähnliche Weise eingesetzt.
Android / Spy23C.A ist weitaus potenter als frühere Versionen
Um seine Datenerfassungsaktivitäten ausführen zu können, muss Android / Spy23C.A zunächst den Zielbenutzer davon überzeugen, ihm mehrere eher invasive Berechtigungen zu erteilen. Dies kann der Grund sein, warum die Entwickler des Trojaners beschlossen haben, Messaging-Anwendungen als plausible Verkleidung zu verwenden. Die betrügerischen Social-Engineering-Tricks beginnen bereits vor der eigentlichen Installation, da Android / Spy23C.A darum bittet, Audio und Video aufnehmen, Bilder aufnehmen, SMS lesen und senden sowie Kontakte auf dem Gerät lesen und ändern zu dürfen. Nach der Installation nutzt die Bedrohung den ahnungslosen Benutzer, um seine Kontrolle über das Gerät weiter auszubauen, indem er zusätzliche Berechtigungen erwirbt. Diesmal verbirgt sich jedoch die wahre Absicht hinter irreführenden Vorwürfen für verschiedene Funktionen. Der Trojaner teilt dem Benutzer beispielsweise mit, dass er private Video-Chats ausführen kann, in Wirklichkeit jedoch den Bildschirm des Geräts aufzeichnen kann. In einem anderen Fall wird der Benutzer aufgefordert, die Nachrichtenverschlüsselung zuzulassen, was dazu führt, dass Android / Spy23C die Fähigkeit erhält, die Benachrichtigungen des Benutzers zu lesen.
Um seine Anwesenheit und schädliche Aktivität zu verbergen, fordert der Trojaner seine Opfer auf, die legitime Messaging-Anwendung nach der Ausführung manuell zu installieren. Das Ergebnis ist, dass der Benutzer Zugriff auf die reale Anwendung mit all ihren Funktionen hat, während Android / Spy23C.A Daten im Hintergrund sammelt, ohne stillschweigend viel Aufmerksamkeit zu erregen. In einigen Fällen jedoch, wenn sich der Trojaner als WeMessage, AndroidUpdate und andere tarnt, dienen die von den Opfern heruntergeladenen Anwendungen nur als Ablenkung, ohne über echte Funktionen zu verfügen.
Android / Spy23C.A verfügt über alle Funktionen der vorherigen Versionen, die von APT-C-23 verwendet wurden. Es kann Anrufprotokolle, SMS, Kontakte filtern, Dateien auf dem Gerät bearbeiten, Anwendungen deinstallieren, Dateien mit bestimmten Erweiterungen sammeln, Audio aufnehmen und Bilder aufnehmen. Das bereits beeindruckende Spektrum an Fähigkeiten wurde nun um mehrere neue leistungsstarke Funktionen erweitert. Android / Spy23C.A kann Anrufe tätigen, während auf dem Gerät ein schwarzer Bildschirm angezeigt wird, um seine Aktivität zu verbergen. Um das Vorhandensein weiter zu verbergen, kann die Bedrohung je nach Hersteller des Mobilgeräts verschiedene Benachrichtigungen aus Sicherheitsanwendungen entfernen sowie die EIGENEN Benachrichtigungen schließen, eine nach Ansicht der Cybersicherheitsexperten möglicherweise einzigartige Funktion zum Ausblenden spezifische Fehlermeldungen, die während des Betriebs des Trojaners auftreten können.
Android / Spy23C.A wird über einen Fake Application Store vertrieben
Wie bereits erwähnt, besteht die Hauptstrategie von Android / Spy23C.A darin, sich als legitime Messaging-Anwendungen auszugeben. Um sie an die Zielbenutzer weiterzuleiten, hat die Hacker-Gruppe einen gefälschten Android-Anwendungsspeicher erstellt und die bedrohlichen Anwendungen unter mehreren legitimen Anwendungen versteckt. Die besonderen Anwendungen, die die Bedrohung trugen, waren AndroidUpdate, Threema und Telegram. Um die Wahrscheinlichkeit eines versehentlichen Herunterladens durch unbeabsichtigte Ziele zu begrenzen, haben die Kriminellen eine Überprüfungsmaßnahme durchgeführt. Benutzer müssen einen sechsstelligen Gutscheincode eingeben, um den Download der bedrohlichen Anwendungen zu starten.
Der gefälschte Anwendungsspeicher ist nicht die einzige von APT-C-23 verwendete Verteilungsmethode. Dies zeigt sich darin, dass das Trojaner-Tool als WeMessage-Anwendung eingestuft wurde, die nicht zu den im gefälschten Speicher verfügbaren Anwendungen gehört. In einer ziemlich seltsamen Entscheidung scheinen die Hacker ihre eigenen benutzerdefinierten Grafiken und Benutzeroberflächen erstellt zu haben, da die Betrügeranwendung außer dem Namen keine Ähnlichkeiten mit der legitimen WeMessage-Anwendung aufweist.
