Forskere opdager ny charmerende malware til malware til killinger
Sikkerhedsforskere, der arbejder med IBM, har for nylig offentliggjort en analyse af et nyt stykke Android -malware, der spredes og bruges af den trusselsaktør, der er kendt under aliaserne Charming Kitten og APT35. Forskerne oplyste, at malware bruges af en trusselsaktør, de kalder ITG18, med mistanke om forbindelse til Iran, men at denne APT også har et betydeligt overlap med Charming Kitten.
Den pågældende malware kaldes "LittleLooter" og fungerer som en bagdør for Android -enheder. Ifølge IBMs forskere er LittleLooter et værktøj, der kun bruges af ITG18 -gruppen. Det er dog også et med nogle designproblemer i det.
Filen, der indeholder malware, blev fundet på en server, der tilhører og er forbundet med den formodede iranske hackergruppe. Beholderen var en Android -app -pakke, der udgjorde som et installationsprogram til WhatsApp med navnet "WhatsApp.apk", med MD5 -kontrolsummen "a04c2c3388da643ef67504ef8c6907fb".
LittleLooter er en varieret stjæler med en masse muligheder, der omfatter optagelse af video og lyd fra den inficerede enhed, upload og eksfiltrering af filer fra enheden, optagelse af igangværende samtaler, kontrol af installerede apps, manipulation af on/off -status for forskellige funktioner på enheden, f.eks. som Bluetooth, Wi-Fi og mobildata og kontrol af opkaldslogfiler.
Forskerne har tidligere også afsløret timevis af videoer, der er beregnet til at træne hackere i at bruge en tidligere version af malware. Den seneste LittleLooter er stemplet med v5, mens selvstudierne om, hvordan man bruger malware, var til v4.
For sin kommando- og kontrolinfrastruktur forsøger LittleLooter at kontakte en server, der hævder at tilhøre en amerikansk blomsterbutik, af alle mulige ting og har været online og kørt siden midten af 2020. Kommunikation er både komprimeret og krypteret ved hjælp af AES.
Som med alle lignende angreb og mobil malware, anbefalede IBMs forskere at muliggøre multifaktorgodkendelse på så mange enheder og applikationer på disse enheder som muligt. Allison Wikoff, en sikkerhedsforsker hos IBM Security X-Force, sagde, at forskere ville fortsætte med at hamre betydningen af MFA, indtil de er "blå i ansigtet", især fordi ikke alle leverandører implementerer det eller gør det obligatorisk for deres produkter.
