En ny spionkampagne, der involverer PhoneSpy malware, har til dato inficeret tusindvis af ofrets enheder.
I onsdags offentliggjorde Zimperium zLabs en ny rapport om PhoneSpy, spyware udviklet til at infiltrere håndsæt, der opererer på Googles Android OS.
Til dato er 23 ondsindede apps, der rummer spyware, blevet fundet, men ingen af prøverne blev opdaget i den officielle Google Play Butik – hvilket tyder på, at PhoneSpy bliver distribueret via tredjepartsplatforme.
Også: Sådan finder og fjerner du spyware fra din telefon
Den seneste PhoneSpy-kampagne ser ud til at være fokuseret på Sydkorea , med malwaren samlet i tilsyneladende godartede mobilapps, herunder beskeder, yogainstruktioner, fotoindsamling og browsingværktøjer og tv-/videostreamingsoftware.
zLabs har mistanke om, at den indledende infektionsvektor er almindelig: brugen af phishing-links, der er lagt ud på websteder eller sociale mediekanaler.
Når et offer installerer og udfører appens APK-fil, implementeres PhoneSpy. PhoneSpy retter sig mod koreansktalende og vil kaste en phishing-side op, der foregiver at være fra en populær tjeneste – såsom Kakao Talk-meddelelsesappen – for at anmode om tilladelser og stjæle legitimationsoplysninger.
Når du tænker på spyware lige nu, kan det være, at Pegasus kommer til at tænke på – en tavs, skadelig form for malware, der er blevet brugt til at spionere på højt profilerede advokater, aktivister, regeringsfigurer og journalister.
Selvom PhoneSpy ser ud til at være mere avanceret, kan malwarens egenskaber heller ikke afvises uden videre. Malwaren beskrives som en “avanceret” Remote Access Trojan (RAT), der er i stand til stille og roligt at udføre overvågning af et offer og sende data til en kommando-og-kontrol-server (C2).
PhoneSpys funktionalitet omfatter overvågning af et offers placering via GPS; optagelse af lyd, billeder og video i realtid ved at kapre mobilmikrofoner og både front- og bagkameraer; opsnappe og stjæle SMS-beskeder, viderestilling af opkald, tyveri af opkaldslog og kontaktliste, afsendelse af beskeder på vegne af malware-operatøren og udsugning af enhedsoplysninger.
Derudover er PhoneSpy blevet udviklet med slørings- og skjulefunktioner og vil skjule sit ikon for at forblive uopdaget – en almindelig taktik, der anvendes af spyware og stalkerware. Malwaren kan også forsøge at afinstallere brugerapps, herunder mobil sikkerhedssoftware.
zLabs mener, at kampagnen er blevet brugt til at indsamle “betydelige mængder personlig og virksomhedsinformation [fra] ofre, herunder privat kommunikation og fotos.”
Kampagnen er stadig i gang. Amerikanske og koreanske myndigheder er blevet informeret.
“Ofrene udsendte deres private oplysninger til de ondsindede aktører uden indikation af, at noget var galt,” siger forskerne. “Selvom tusindvis af sydkoreanske ofre er blevet ofre for spyware-kampagnen, er det uklart, om de har nogen forbindelser med hinanden. Men med muligheden for at downloade kontaktlister og sende SMS-beskeder på vegne af ofret, er der en høj chance for, at de ondsindede aktører retter sig mod forbindelser af nuværende ofre med phishing-links.”
Tidligere og relateret dækning
Med én opdatering kaprede denne ondsindede Android-app millioner af enheder
Sådan finder og fjerner du spyware fra din telefon
Denne nye Android-malware får fuld kontrol over din telefon for at stjæle adgangskoder og info
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
ZDNet anbefaler
De bedste iPhone-tilbud i november De bedste bærbare computere: Mac, pc og Chromebook sammenlignet Top VPN-tjenester gennemgået og sammenlignet De bedste smarthøjttalere: Google, Apple, Amazon og mere Black Friday-købsguide 2021 Mobilitet | Sikkerheds-tv | Datastyring | CXO | Datacentre