PhoneSpy-Malware

Sicherheitsexperten haben eine aktive Spionagekampagne gegen südkoreanische Nutzer identifiziert. Laut ihren Ergebnissen zielen die Angreifer darauf ab, die Android-Geräte der Benutzer zu kompromittieren, indem sie sie mit der Malware-Bedrohung PhoneSpy infizieren – einem fortschrittlichen RAT (Remote Access Trojan), der zahlreiche aufdringliche Aktionen auf den angegriffenen Geräten ausführen kann. Es scheint, dass das Hauptziel von Hackern darin besteht, riesige Mengen sensibler persönlicher oder Unternehmensdaten von ihren Opfern zu sammeln.

Bislang haben Cybersicherheitsexperten 23 verschiedene waffenfähige Anwendungen entdeckt, die die Bedrohung tragen. Es sei darauf hingewiesen, dass es keiner dieser Anwendungen gelungen ist, den offiziellen Google Play Store zu durchbrechen, und werden daher hauptsächlich über App-Plattformen von Drittanbietern verbreitet. Es wird angenommen, dass der anfängliche Vektor der Kompromittierung Phishing-Links sind, die unter den Zielbenutzern verteilt werden. Die ausgewählten Anwendungen geben vor, nützliche Tools zu sein, die Messaging, Fotoverwaltung, Yoga-Anweisungen, Streaming von Inhalten und mehr bieten.

Bedrohungsfunktionen

PhoneSpy gehört vielleicht nicht zu den ausgereiftesten RATs auf dem Markt, aber seine Fähigkeiten sollten nicht unterschätzt werden. Sobald Benutzer die APK-Datei einer der gefälschten Anwendungen heruntergeladen und ausgeführt haben, wird die Bereitstellung von PhoneSpy auf ihren Geräten ausgelöst. Die erste Aktion der Bedrohung besteht darin, eine Phishing-Seite anzuzeigen, die so aussieht, als käme sie von einem legitimen Dienst, wie der Nachrichten-App Kakao Talklication. Die gefälschte Seite versucht, den Benutzer davon zu überzeugen, ihr zahlreiche Geräteberechtigungen zu erteilen.

PhoneSpy richtet dann seine Überwachungsroutinen ein und beginnt, private Informationen vom Gerät zu sammeln. Die RAT kann den Standort des Benutzers über das GPS des Geräts verfolgen, Bilder aufnehmen, Audio oder Video aufnehmen, indem das Mikrofon und die Kamera des Geräts entführt werden, eingehende SMS-Nachrichten abfangen, Anrufweiterleitungen einrichten, Anrufprotokolle und Kontaktlisten sammeln und sogar beliebige Nachrichten von Gerät senden mit dem Konto und den Anmeldeinformationen des Opfers. Die riesige Menge der gesammelten Daten wird an die Command-and-Control (C2, C&C)-Server der Angreifer übertragen.

Um auf dem Gerät verborgen zu bleiben, verwendet PhoneSpy Verschleierungstechniken für seinen Code. Es wird auch das Symbol der gefälschten App vom Bildschirm des Telefons entfernen, eine häufige Tarnungsaktion, die bei diesen RAT-Bedrohungen beobachtet wird. PhoneSpy versucht möglicherweise sogar, auf dem Gerät vorhandene mobile Sicherheitslösungen zu entfernen, indem versucht wird, sie zu deinstallieren.