Messaging apps 'Telegram' en 'Threema' als lokmiddel ingezet

Gepubliceerd op 7 oktober 2020 om 08:00
Messaging apps 'Telegram' en 'Threema' als lokmiddel ingezet

Onderzoekers van 'ESET' hebben een nieuwe versie van Android-spyware geanalyseerd die wordt gebruikt door 'APT-C-23', een criminele groepering die sinds ten minste 2017 actief is en die voornamelijk gericht is op het Midden-Oosten.

De onthulde spyware, gedetecteerd door eset-beveiligingsoplossingen als 'Android/SpyC23.A', bouwt voort op eerder gerapporteerde versies met uitgebreide spionage-functionaliteit, nieuwe stealth-functies en bijgewerkte C&C-communicatie mogelijkheden. Eén van de manieren waarop de spyware wordt gedistribueerd is via een frauduleuze Android-appstore, waarbij bekende messaging apps, zoals Telegram en Threema, als lokmiddel worden gebruikt.

Android malware sample

De onderzoekers zijn de malware gaan bestuderen toen een collega-onderzoeker in april 2020 een tweet plaatste over een onbekend, weinig gedetecteerd Android-malwaresample. “Een gezamenlijke analyse toonde aan dat deze malware deel uitmaakte van het APT-C-23 arsenaal - een nieuwe, verbeterde versie van hun mobiele spyware,” verklaart Lukáš Štefanko, de onderzoeker die Android/SpyC23.A. analyseerde.

AndroidUpdate Threema en Telegram

De spyware werd aangetroffen achter schijnbaar legitieme apps in een neppe Android-appstore. “Toen we de fake store analyseerden, bevatte deze zowel kwaadaardige als schone items. De malware zat verborgen in apps die zich voordeden als AndroidUpdate, Threema en Telegram. In sommige gevallen zou het slachtoffer zowel de malware als de imitatie-app geïnstalleerd hebben,” aldus Štefanko.

Na de installatie vraagt de malware om toestemming te geven op een reeks gevoelige set permissies, vermomd als beveiligings- en privacy functies. “De aanvallers gebruikten social engineering-technieken om de slachtoffers te verleiden de malware verschillende sensitieve rechten toe te kennen. Zo wordt bijvoorbeeld de toestemming om meldingen te lezen gemaskeerd als een functie voor het versleutelen van berichten,” licht Štefanko toe.

Eenmaal geïnstalleerd kan de malware een reeks spionageactiviteiten uitvoeren op basis van commando’s van de aanvaller. Naast het opnemen van audio, het exfiltreren van gesprekslogs, sms’jes en contactpersonen en het stelen van bestanden, kan de bijgewerkte Android/SpyC23.A ook meldingen van messaging-apps lezen, scherm- en gespreksopnames maken en meldingen van sommige ingebouwde Android beveiligingsapps negeren. De C&C-communicatie van de malware heeft ook een update ondergaan, waardoor de C&C-server moeilijker te identificeren is voor beveiligingsonderzoekers.

Cybercriminelen APT-C-23 groep

De 'APT-C-23' groep staat bekend om haar gebruik van zowel Windows- als Android-componenten, waarbij de Android-componenten in 2017 voor het eerst beschreven zijn door Qihoo 360 Technology onder de naam Two-tailed Scorpion. Sindsdien zijn er meerdere analyses van APT-C-23’s mobiele malware gepubliceerd. Android/SpyC23.A, de nieuwste spyware versie van de groep, bevat verschillende verbeteringen die het nog gevaarlijker maken voor potentiële slachtoffers.

“Om veilig te zijn ten aanzien van spyware adviseren wij Android-gebruikers om alleen apps te installeren vanuit de officiële Google Play Store, de gevraagde toestemmingen altijd te controleren en een betrouwbare en up-to-date mobiele security oplossing te gebruiken,” besluit Štefanko.

APT C 23 Group Evolves Its Android Spyware We Live Security 1
PDF – 1,1 MB 505 downloads

Bron: eset.com, welivesecurity.com