Android malver FakeSpy se ponovo širi preko SMS poruka koje sadrže linkove

Mobilni telefoni, 02.07.2020, 11:30 AM

Moćni Android malver FakeSpy se vratio. Malver koji može da ukrade podatke o bankovnom računu, lične podatke, privatnu komunikaciju korisnika i još mnogo toga, širi se preko SMS poruka.

FakeSpy je aktivan od 2017. godine. Prvobitno je inficirao samo uređaje korisnika u Japanu i Južnoj Koreji, ali sada su njegove žrtve korisnici Androida širom sveta.

Najnoviju kampanju FakeSpy detaljno su opisali istraživači Cybereasona, koji kažu da su napadi povezani sa “Roaming Mantisom”, kineskom kriminalnom grupom koja je već vodila slične kampanje.

FakeSpy je opisan kao malver koji se aktivno i brzo razvija, a nova verzija malvera se objavljuje svake nedelje, donoseći nove mogućnosti i tehnike kojima se izbegava otkrivanje malvera.

Malver služi za krađu informacija, SMS poruka, finansijskih informacija, informacija o aplikacijama i nalozima, čitanje lista kontakata i još mnogo toga.

Najnovija kampanja je široko rasprostranjena a ugroženi su korisnici u Kini, Tajvanu, Francuskoj, Švajcarskoj, Nemačkoj, Velikoj Britaniji, SAD i drugim zemljama. Napad počinje lažnom porukom o neuspeloj dostavi paketa lokalne poštanske ili kurirske službe .

Fišing link u SMS poruci usmerava korisnike na lažni veb sajt na kome im se kaže da preuzmu aplikaciju koja je predstavljena kao aplikacija lokalne poštanske službe. Na primer, korisnici u Velikoj Britaniji upućeni su da preuzmu lažnu verziju aplikacije Royal Mail, dok se korisnici u SAD vode na veb sajt sa kog preuzimaju lažnu aplikaciju US Postal Service. Lažne su takođe i aplikacije nemačke Deutsche Post, francuske La Poste, japanske pošte Japan Post, Swiss Post i tajvanske Chughwa Post.

Lažne aplikacije su napravljene pomoću WebViewa i dizajnirane tako da izgledaju kao prave. Nakon preuzimanja aplikacije, koja zahteva da korisnik dozvoli instalaciju iz nepoznatih izvora, lažna stranica će preusmeriti žrtvu na legitimni veb sajt kako ne bi posumnjala u ono što je upravo preuzela.

Malver takođe traži brojne dozvole koje su mu potrebne za rad. Ali s obzirom na to da mnoge legitimne aplikacije takođe zahtevaju brojne dozvole i širok pristup uređaju, žrtva verovatno neće razmisliti o tome.

Kada je instaliran, FakeSpy može nadgledati uređaj radi krađe različitih informacija, uključujući ime, telefonski broj, kontakte, informacije o bankovnom računu i novčaniku kriptovalute, a može nadgledati i poruke i korišćenje aplikacija.

FakeSpy takođe koristi infekciju da bi se proširio slanjem fišing poruke svim kontaktima žrtve, iste onakve kakvu je dobila i sama žrtva pre infekcije. Ovo ukazuje na to da ovo nije ciljana kampanja, već kampanja koja ima za cilj zaradu te zato malver valjda proširiti što više da bi se ukralo što više novca pomoću ukradenih bankovnih podataka i drugih ličnih podataka.

“Ne verujemo da su (napadi) usmereni na određenog pojedinca, već umesto toga, napadači iskušavaju sreću, bacajući prilično široku mrežu, i čekajući da neko zagrize“, kažu istraživači. “Vidimo da se nove funkcije stalno dodaju kodu, pa pretpostavljamo da je to dobar posao za njih.”

Korisnici ipak mogu izbeći da postanu žrtve tako što će biti oprezni sa neočekivanim i neobičnim SMS porukama, posebno onim u kojima se traži od korisnika da klikne na link ili preuzme nešto jer je to verovatno fišing napad. Ako kliknu na link, korisnici moraju da provere autentičnost veb sajta, potraže slovne greške ili greške u nazivu sajta, ali pre svega da izbegavaju preuzimanje aplikacija iz nezvanične prodavnice.