Onderzoekers van 'ESET' hebben een nieuwe versie van Android-spyware geanalyseerd die wordt gebruikt door 'APT-C-23', een criminele groepering die sinds ten minste 2017 actief is en die voornamelijk gericht is op het Midden-Oosten.
De onthulde spyware, gedetecteerd door eset-beveiligingsoplossingen als 'Android/SpyC23.A', bouwt voort op eerder gerapporteerde versies met uitgebreide spionage-functionaliteit, nieuwe stealth-functies en bijgewerkte C&C-communicatie mogelijkheden. Eén van de manieren waarop de spyware wordt gedistribueerd is via een frauduleuze Android-appstore, waarbij bekende messaging apps, zoals Telegram en Threema, als lokmiddel worden gebruikt.
Android malware sample
De onderzoekers zijn de malware gaan bestuderen toen een collega-onderzoeker in april 2020 een tweet plaatste over een onbekend, weinig gedetecteerd Android-malwaresample. “Een gezamenlijke analyse toonde aan dat deze malware deel uitmaakte van het APT-C-23 arsenaal - een nieuwe, verbeterde versie van hun mobiele spyware,” verklaart Lukáš Štefanko, de onderzoeker die Android/SpyC23.A. analyseerde.
"PureTalk.apk": 2ed77be505cd246ca41bba218d8a5c59ae6049eff2c3b72ca91433ad4fe3b103
— MalwareHunterTeam (@malwrhunterteam) April 16, 2020
Very low detected malware or FP from ESET?
🤔
cc @LukasStefanko @virqdroid pic.twitter.com/sMYRmay4ZR
AndroidUpdate Threema en Telegram
De spyware werd aangetroffen achter schijnbaar legitieme apps in een neppe Android-appstore. “Toen we de fake store analyseerden, bevatte deze zowel kwaadaardige als schone items. De malware zat verborgen in apps die zich voordeden als AndroidUpdate, Threema en Telegram. In sommige gevallen zou het slachtoffer zowel de malware als de imitatie-app geïnstalleerd hebben,” aldus Štefanko.
Na de installatie vraagt de malware om toestemming te geven op een reeks gevoelige set permissies, vermomd als beveiligings- en privacy functies. “De aanvallers gebruikten social engineering-technieken om de slachtoffers te verleiden de malware verschillende sensitieve rechten toe te kennen. Zo wordt bijvoorbeeld de toestemming om meldingen te lezen gemaskeerd als een functie voor het versleutelen van berichten,” licht Štefanko toe.
Eenmaal geïnstalleerd kan de malware een reeks spionageactiviteiten uitvoeren op basis van commando’s van de aanvaller. Naast het opnemen van audio, het exfiltreren van gesprekslogs, sms’jes en contactpersonen en het stelen van bestanden, kan de bijgewerkte Android/SpyC23.A ook meldingen van messaging-apps lezen, scherm- en gespreksopnames maken en meldingen van sommige ingebouwde Android beveiligingsapps negeren. De C&C-communicatie van de malware heeft ook een update ondergaan, waardoor de C&C-server moeilijker te identificeren is voor beveiligingsonderzoekers.
Cybercriminelen APT-C-23 groep
De 'APT-C-23' groep staat bekend om haar gebruik van zowel Windows- als Android-componenten, waarbij de Android-componenten in 2017 voor het eerst beschreven zijn door Qihoo 360 Technology onder de naam Two-tailed Scorpion. Sindsdien zijn er meerdere analyses van APT-C-23’s mobiele malware gepubliceerd. Android/SpyC23.A, de nieuwste spyware versie van de groep, bevat verschillende verbeteringen die het nog gevaarlijker maken voor potentiële slachtoffers.
“Om veilig te zijn ten aanzien van spyware adviseren wij Android-gebruikers om alleen apps te installeren vanuit de officiële Google Play Store, de gevraagde toestemmingen altijd te controleren en een betrouwbare en up-to-date mobiele security oplossing te gebruiken,” besluit Štefanko.
Bron: eset.com, welivesecurity.com