Двум группировкам, специализирующимся на атаках на критические инфраструктуры, удалось загрузить на Google Play три вредоносных приложения. По данным исследователей из Lookout, они предназначены для слежки за военными организациями на Ближнем Востоке.

Одна из группировок — APT-C-23, также известная как Two-Tailed Scorpion, — пользовалась приемами социальной инженерии и с помощью приложений из Google Play получала несанкционированный доступ к смартфонам под управлением Android. Вторая структура, именующая себя mobile APT (mAPT), распространяла зловред ViperRAT через мессенджеры VokaChat и Chattak, которые также были представлены в магазине.

Desert Scorpion

По словам специалистов компании Lookout, 3 апреля они сообщили Google об обнаружении вредоносного приложения, связанного с группировкой APT-C-23, а также о новом семействе зловредов под названием Desert Scorpion.

Злоумышленники из APT-C-23 действовали в течение всего прошлого года. Последний раз их активность засекли исследователи из Trend Micro в декабре 2017-го. Именно тогда, по словам экспертов, киберпреступники распространяли мобильный зловред GnatSpy — усложненный вариант Vamp и FrozenCell. Объектом слежки стали более сотни палестинцев.

«Это приложение совмещает в себе два семейства зловредов — Desert Scorpion и FrozenCell. Мы считаем, что у обоих один разработчик — группировка APT-C-23, атакующая жителей Ближнего Востока», — пишут представители Lookout в отчете, опубликованном в понедельник.

Для получения доступа к смартфонам Android злоумышленники использовали приемы социальной инженерии. По словам исследователей, преступники от имени молодых девушек через соцсети убеждали жертв загрузить на свой телефон зараженный мессенджер.

«Мы выяснили, что зловред связан с давно существующим профилем на Facebook, с которого людям предлагали скачать в Google Play программу первой стадии — вредоносный мессенджер под названием Dardesh», — пишут они.

 

После установки Dardesh загружает второй компонент зловреда — программу Desert Scorpion, замаскированную под приложение с настройками. Она может тайно записывать аудио, красть файлы и переносить данные на сервер C2. Всего в арсенале вредоноса 22 функции слежения.

«Наша команда по обнаружению и предотвращению угроз все чаще замечает, что излюбленные приемы группировки APT-C-23 используют другие злоумышленники. Чтобы разделить вредонос на несколько компонентов, которые загружаются уже после установки приложения из Google Play, а также использовать приемы социальной инженерии на ресурсах вроде Facebook, нужны минимальные вложения по сравнению с такими высококлассными инструментами, как Pegasus и FinFisher», — пишут исследователи Lookout.

ViperRAT поднимается на новый уровень

В отличие от Dardesh и Desert Scorpion, новейшая версия зловреда ViperRAT способна начать слежку за устройствами в один прием.

Это большой прогресс по сравнению с более чем десятью вариантами ViperRAT, которые в феврале 2017 года обнаружили специалисты «Лаборатории Касперского» и Lookout. Тогда атака была нацелена на сотрудников Армии обороны Израиля и проходила по той же схеме, что и кампания APT-C-23. С женских аккаунтов на Facebook злоумышленники убеждали военных скачивать вредоносные мессенджеры из Google Play, которые впоследствии загружали зловреды для слежения.

Новейшая версия ViperRAT — более продвинутая и не требует установки сторонних программ.

По словам представителей Lookout, приложений VokaChat и Chattak больше нет на Google Play. Но к тому времени, когда специалисты Google заблокировали аккаунты злоумышленников, программы загрузили уже в общей сложности 1000 раз.

Согласно недавнему анализу ViperRAT от Lookout, зловред собирает с устройства жертвы конфиденциальную информацию. В частности, злоумышленники похищают изображение с камеры и записи с микрофона гаджета.

«В 2017 году создатели ViperRAT проявлялись редко, вероятно, из-за повышенного внимания к подобным программам со стороны СМИ и публикации информации о том, как опознать скомпрометированное устройство. Также был обнародован список доменов, с которых проводились атаки. Однако недавно наши специалисты обнаружили зараженные приложения в магазине Google Play, что говорит о новой волне активности группировки», — считают исследователи.

Категории: Аналитика, Вредоносные программы