A kutatók új bájos cica mobil rosszindulatú programokat fedeznek fel

Az IBM -szel dolgozó biztonsági kutatók nemrégiben közzétették az Android rosszindulatú programok új darabjának elemzését, amelyet a Charming Kitten és az APT35 fedőnév alatt ismert fenyegetőszereplő terjeszt és használ. A kutatók kijelentették, hogy a rosszindulatú programot az általuk ITG18 -nak nevezett fenyegetésszereplő használja, feltételezett kapcsolatokkal Iránhoz, de ez az APT is jelentős átfedésben van a Charming Kitten -nel.

A szóban forgó rosszindulatú programot „LittleLooter” -nek hívják, és hátsó ajtóként működik az Android -eszközökön. Az IBM kutatói szerint a LittleLooter olyan eszköz, amelyet csak az ITG18 csoport használ. Azonban ez is egy, néhány tervezési problémával.

A rosszindulatú programot tartalmazó fájlt az állítólagos iráni hackercsoporthoz tartozó és ahhoz kapcsolódó szerveren találták. A tároló egy Android -alkalmazáscsomag volt, amely a WhatsApp "WhatsApp.apk" nevű telepítőjeként szerepelt, és az MD5 ellenőrző összege "a04c2c3388da643ef67504ef8c6907fb".

A LittleLooter egy változatos lopó, amely számos olyan funkciót tartalmaz, mint a videó és a hang rögzítése a fertőzött eszközről, fájlok feltöltése és kiszűrése az eszközről, a folyamatban lévő beszélgetések rögzítése, a telepített alkalmazások ellenőrzése, az eszköz különböző funkcióinak be- és kikapcsolási állapotának módosítása, pl. Bluetooth, Wi-Fi és mobil adatforgalom, valamint hívásnaplók ellenőrzése.

A kutatók korábban több órányi videókat is lelepleztek, amelyek célja, hogy a hackereket megtanítsák a rosszindulatú programok egy korábbi verziójának használatára. A legújabb LittleLooter v5 -ös pecséttel van ellátva, míg a rosszindulatú programok használatára vonatkozó oktatóanyagok a v4 -hez szóltak.

A LittleLooter parancsnoki és irányítási infrastruktúrája érdekében megpróbál kapcsolatba lépni egy szerverrel, amely azt állítja, hogy egy amerikai virágbolthoz tartozik, minden lehetséges dologról, és 2020 közepe óta működik. A kommunikáció tömörített és titkosított az AES segítségével.

Mint minden hasonló támadáshoz és mobil kártevőhöz, az IBM kutatói azt javasolták, hogy engedélyezzék a többtényezős hitelesítést a lehető legtöbb eszközön és alkalmazásban. Allison Wikoff, az IBM Security X-Force biztonsági kutatója elmondta, hogy a kutatók továbbra is az MFA fontosságát fogják felszínre hozni, amíg azok "kék színűek" nem lesznek, különösen azért, mert nem minden gyártó valósítja meg vagy teszi kötelezővé termékei tekintetében.