Οι ερευνητές ανακαλύπτουν νέο κακόβουλο κακόβουλο κινητό γατάκι
Οι ερευνητές ασφάλειας που συνεργάζονται με την IBM δημοσίευσαν πρόσφατα μια ανάλυση ενός νέου κομματιού κακόβουλου λογισμικού Android που διαδίδεται και χρησιμοποιείται από τον φορέα απειλών, γνωστό με τα ψευδώνυμα Charming Kitten και APT35. Οι ερευνητές δήλωσαν ότι το κακόβουλο λογισμικό χρησιμοποιείται από έναν φορέα απειλής που ονομάζουν ITG18, με ύποπτες συνδέσεις με το Ιράν, αλλά ότι αυτό το APT έχει επίσης σημαντική αλληλεπικάλυψη με το Charming Kitten.
Το εν λόγω κακόβουλο λογισμικό ονομάζεται "LittleLooter" και λειτουργεί ως backdoor για συσκευές Android. Το LittleLooter είναι ένα εργαλείο που χρησιμοποιείται μόνο από την ομάδα ITG18, σύμφωνα με τους ερευνητές της IBM. Ωστόσο, είναι επίσης ένα με ορισμένα ζητήματα σχεδιασμού.
Το αρχείο που περιέχει το κακόβουλο λογισμικό βρέθηκε σε διακομιστή που ανήκε και σχετίζεται με την υποτιθέμενη ιρανική ομάδα χάκερ. Το κοντέινερ ήταν ένα πακέτο εφαρμογών Android που εμφανιζόταν ως πρόγραμμα εγκατάστασης για το WhatsApp με το όνομα "WhatsApp.apk", με το άθροισμα ελέγχου MD5 "a04c2c3388da643ef67504ef8c6907fb".
Το LittleLooter είναι ένας ποικίλος κλέφτης με πολλές δυνατότητες που περιλαμβάνουν εγγραφή βίντεο και ήχου από τη μολυσμένη συσκευή, μεταφόρτωση και απομάκρυνση αρχείων από τη συσκευή, εγγραφή συνεχιζόμενων συνομιλιών, έλεγχο εγκατεστημένων εφαρμογών, χειρισμό της κατάστασης ενεργοποίησης/απενεργοποίησης διαφόρων λειτουργιών στη συσκευή, όπως ως Bluetooth, Wi-Fi και δεδομένα κινητής τηλεφωνίας και έλεγχος αρχείων καταγραφής κλήσεων.
Οι ερευνητές αποκάλυψαν προηγουμένως επίσης ώρες βίντεο που είχαν σκοπό να εκπαιδεύσουν τους χάκερ πώς να χρησιμοποιούν μια προηγούμενη έκδοση του κακόβουλου λογισμικού. Το πιο πρόσφατο LittleLooter είναι σφραγισμένο με v5, ενώ τα σεμινάρια για τον τρόπο χρήσης του κακόβουλου λογισμικού ήταν για το v4.
Για την υποδομή εντολών και ελέγχου, το LittleLooter προσπαθεί να επικοινωνήσει με έναν διακομιστή που ισχυρίζεται ότι ανήκει σε ένα αμερικανικό ανθοπωλείο, από όλα τα πιθανά πράγματα και είναι online και λειτουργεί από τα μέσα του 2020. Η επικοινωνία συμπιέζεται και κρυπτογραφείται χρησιμοποιώντας AES.
Όπως και σε όλες τις παρόμοιες επιθέσεις και κακόβουλα προγράμματα για κινητά, οι ερευνητές της IBM συνέστησαν την ενεργοποίηση του ελέγχου ταυτότητας πολλαπλών παραγόντων σε όσο το δυνατόν περισσότερες συσκευές και εφαρμογές σε αυτές τις συσκευές. Ο Allison Wikoff, ερευνητής ασφαλείας με την IBM Security X-Force, δήλωσε ότι οι ερευνητές θα συνεχίσουν να σφυροκοπούν τη σημασία του MFA μέχρι να είναι «μπλε στο πρόσωπο», ειδικά επειδή δεν το εφαρμόζουν όλοι οι προμηθευτές ή το καθιστούν υποχρεωτικό για τα προϊόντα τους.
