Иранский Android-шпион может извлекать сообщения из WhatsApp, Telegram

Иранский Android-шпион может извлекать сообщения из WhatsApp, Telegram

Иранский Android-шпион может извлекать сообщения из WhatsApp, Telegram

Команда исследователей обнаружила ранее недокументированные возможности шпионской программы для Android, разрабатываемой иранской киберпреступной группой. Оказалось, что зловред способен перехватывать чаты из популярных мессенджеров, а также автоматически отвечать на звонки с конкретных номеров.

По данным специалистов, этот Android-вредонос разрабатывается группировкой APT39 (также известна под именами Chafer, ITG07 или Remix Kitten), которая атаковала преимущественно журналистов, а также международные компании из сфер телекоммуникации и туризма.

Ранее ФБР уже описывало в отчёте (PDF) возможности вредоносной программы для мобильных устройств на базе Android. Тогда специалисты анализировали приложение с названием «optimizer.apk», способное похищать данные и предоставлять удалённый доступ.

«APK-образец обладает набором функций, позволяющих ему получать root-доступ на Android-устройстве атакуемого пользователя без его ведома», — писало ФБР.

 

Теперь свой анализ опубликовали исследователи из компании ReversingLabs, которые ещё глубже погрузились в изучение вредоносной программы от APT39. Как отметили эксперты, изученный семпл («com.android.providers.optimizer») может записывать аудио и фотографировать в целях правительственного шпионажа.

Более того, зловред способен добавлять специальные точки доступа Wi-Fi и заставлять мобильное устройство жертвы подключаться к ним. Исследователи считают, что эта функция помогает вредоносу уйти от детектирования, основанного на анализе подозрительного трафика.

Также вредоносная программа может получать команды через СМС-сообщения и извлекать контент из популярных мессенджеров: WhatsApp, Instagram, Telegram, Viber, Skype и Talaeii (иранский аналог Telegram).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

США заплатят $10 млн за помощь в поимке россиян по делу о взломе КИИ

Правительство США объявило о готовности заплатить до $10 млн за информацию, способствующую аресту троих граждан России, которых в 2021 году обвинили в проведении атак на критически важную инфраструктуру (КИИ).

По данным ФБР, Марат Тюков, Михаил Гаврилов и Павел Акулов являются участниками спонсируемой Кремлем кибергруппы Energetic Bear, она же Dragonfly и Crouching Yeti, которая в 2012 –2018 годах взломала и забэкдорила сети более 500 энергетических компаний в 135 странах.

Американцы считают поименованных россиян сотрудниками 16-го центра ФСБ России (рязанского управления спецслужбы). В новом анонсе Госдепа США, опубликованном в X в рамках программы вознаграждений за помощь правосудию, отображенную на фото троицу назвали «офицерами ФСБ, действовавшими по указке правительства России».

Релевантные сведения призывают сообщать по указанной ссылке через анонимную сеть Tor. Информаторам также обещают госзащиту.

 

Судя по алерту, опубликованному ФБР в прошлом месяце, глобальные атаки Energetic Bear с использованием давних уязвимостей, таких как CVE-2018-0171 в сетевых устройствах Cisco, актуальны и по сей день.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru