En ny spionkampanj som involverar skadlig programvara PhoneSpy har hittills infekterat tusentals offerenheter.
På onsdagen publicerade Zimperium zLabs en ny rapport om PhoneSpy, spionprogram utvecklat för att infiltrera telefoner som fungerar på Googles Android OS.
Till dags dato har 23 skadliga appar som hyser spionprogram hittats, men inget av exemplen upptäcktes i den officiella Google Play Butik – vilket tyder på att PhoneSpy distribueras via tredjepartsplattformar.
Även: Hur du hittar och tar bort spionprogram från din telefon
Den senaste PhoneSpy-kampanjen tycks vara fokuserad på Sydkorea, med skadlig programvara inkluderad i till synes godartade mobilappar, inklusive meddelanden, yogainstruktioner, fotoinsamling och webbläsarverktyg och TV/video-streamingprogramvara.
zLabs misstänker att den initiala infektionsvektorn är en vanlig: användningen av nätfiske-länkar som publiceras på webbplatser eller sociala mediekanaler.
När ett offer installerar och kör appens .APK-fil, distribueras PhoneSpy. PhoneSpy riktar sig mot koreansktalande och kommer att slänga upp en nätfiskesida, som låtsas vara från en populär tjänst – som meddelandeappen Kakao Talk – för att begära behörigheter och stjäla referenser.
När du tänker på spionprogram just nu, kan det vara så att Pegasus kommer att tänka på — en tyst, skadlig form av skadlig programvara som har använts för att spionera på högprofilerade advokater, aktivister, regeringspersoner och journalister.
Även om PhoneSpy verkar vara mer genomtänkt, kan även skadlig programvaras kapacitet inte avfärdas direkt. Skadlig programvara beskrivs som en “avancerad” Remote Access Trojan (RAT) som i tysthet kan utföra övervakning av ett offer och skicka data till en kommando-och-kontroll-server (C2).
PhoneSpys funktionalitet inkluderar övervakning av ett offers position via GPS; spela in ljud, bilder och video i realtid genom att kapa mobilmikrofoner och både främre och bakre kameror; avlyssna och stjäla SMS-meddelanden, vidarekoppling av samtal, stöld av samtalslogg och kontaktlistor, skicka meddelanden på uppdrag av skadlig programvaras operatör och exfiltrerande enhetsinformation.
Dessutom har PhoneSpy utvecklats med funktioner för fördunkling och döljande och kommer att dölja dess ikon för att förbli oupptäckt – en vanlig taktik som används av spionprogram och stalkerware. Skadlig programvara kan också försöka avinstallera användarappar, inklusive mobil säkerhetsprogramvara.
zLabs anser att kampanjen har använts för att samla in “betydande mängder personlig och företagsinformation [från] offer, inklusive privat kommunikation och foton.”
Kampanjen pågår fortfarande. Amerikanska och koreanska myndigheter har informerats.
“Offren sände sin privata information till de illvilliga aktörerna utan indikation på att något var fel”, säger forskarna. “Även om tusentals sydkoreanska offer har fallit offer för spionprogramskampanjen är det oklart om de har några kopplingar till varandra. Men med möjligheten att ladda ner kontaktlistor och skicka SMS för offrets räkning finns det en hög chansen att de illvilliga aktörerna riktar in sig på anslutningar till nuvarande offer med nätfiske-länkar.”
Tidigare och relaterad täckning
Med en uppdatering kapade den här skadliga Android-appen miljontals enheter
Så här hittar och tar du bort spionprogram från din telefon
Denna nya skadliga Android-programvara får full kontroll över din telefon för att stjäla lösenord och information
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Mobilitet | Säkerhets-TV | Datahantering | CXO | Datacenter