En ny spioneringskampanje som involverer skadelig programvare fra PhoneSpy har hittil infisert tusenvis av offerenheter.
Onsdag publiserte Zimperium zLabs en ny rapport om PhoneSpy, spionprogramvare utviklet for å infiltrere håndsett som opererer på Googles Android OS.
Til dags dato har 23 ondsinnede apper som inneholder spyware blitt funnet, men ingen av prøvene ble oppdaget i den offisielle Google Play-butikken – noe som tyder på at PhoneSpy blir distribuert via tredjepartsplattformer.
Også: Hvordan finne og fjerne spionprogrammer fra telefonen din
Den siste PhoneSpy-kampanjen ser ut til å være fokusert på Sør-Korea , med skadelig programvare buntet inn i tilsynelatende godartede mobilapper, inkludert meldinger, yogainstruksjoner, fotosamling og nettlesingsverktøy og programvare for TV/videostrømming.
zLabs mistenker at den første infeksjonsvektoren er vanlig: bruk av phishing-lenker som er lagt ut til nettsteder eller sosiale mediekanaler.
Når et offer installerer og kjører appens APK-fil, blir PhoneSpy distribuert. PhoneSpy retter seg mot koreansktalende og vil kaste opp en phishing-side, som utgir seg for å være fra en populær tjeneste – for eksempel Kakao Talk meldingsapp – for å be om tillatelser og stjele legitimasjon.
Når du tenker på spionvare akkurat nå, kan det hende at Pegasus kommer til tankene – en taus, skadelig form for skadelig programvare som har blitt brukt til å spionere på høyprofilerte advokater, aktivister, regjeringsfigurer og journalister.
Selv om PhoneSpy ser ut til å være mer avansert, kan ikke skadevareprogrammets funksjoner heller avvises. Skadevaren beskrives som en “avansert” Remote Access Trojan (RAT) som er i stand til stille å overvåke et offer og sende data til en kommando-og-kontroll-server (C2).
PhoneSpys funksjonalitet inkluderer overvåking av et offers posisjon via GPS; ta opp lyd, bilder og video i sanntid ved å kapre mobilmikrofoner og både front- og bakkameraer; avskjære og stjele SMS-meldinger, viderekobling, anropslogg og kontaktlistetyveri, sending av meldinger på vegne av skadevareoperatøren og eksfiltrerende enhetsinformasjon.
I tillegg har PhoneSpy blitt utviklet med tilslørings- og skjulefunksjoner og vil skjule ikonet for å forbli uoppdaget – en vanlig taktikk brukt av spyware og stalkerware. Skadevaren kan også forsøke å avinstallere brukerapper, inkludert mobilsikkerhetsprogramvare.
zLabs mener at kampanjen har blitt brukt til å samle “betydelige mengder personlig og bedriftsinformasjon [fra] ofre, inkludert privat kommunikasjon og bilder.”
Kampanjen pågår fortsatt. Amerikanske og koreanske myndigheter har blitt informert.
“Ofrene kringkastet sin private informasjon til de ondsinnede aktørene med null indikasjon på at noe var galt,” sier forskerne. “Selv om tusenvis av sørkoreanske ofre har blitt offer for spyware-kampanjen, er det uklart om de har noen forbindelser med hverandre. Men med muligheten til å laste ned kontaktlister og sende SMS-meldinger på vegne av offeret, er det en høy sjansen for at de ondsinnede aktørene retter seg mot forbindelser til nåværende ofre med phishing-lenker.”
Tidligere og relatert dekning
Med én oppdatering kapret denne ondsinnede Android-appen millioner av enheter
Slik finner og fjerner du spyware fra telefonen din
Denne nye Android-skadevare får full kontroll over telefonen din for å stjele passord og informasjon
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
ZDNet anbefaler
De beste iPhone-tilbudene i november De beste bærbare datamaskinene: Mac, PC og Chromebook sammenlignet Toppen VPN-tjenester gjennomgått og sammenlignet De beste smarthøyttalerne: Google, Apple, Amazon og mer Black Friday Kjøpeveiledning 2021 Mobilitet | Sikkerhets-TV | Databehandling | CXO | Datasentre