Mokslininkai atranda naują žavingą „Kitten Mobile Mobile“ kenkėjišką programą

Saugumo tyrinėtojai, dirbantys su IBM, neseniai paskelbė naujos „Android“ kenkėjiškų programų dalies, kurią platina ir naudoja grėsmių veikėjas, žinomas kaip „Charming Kitten“ ir „APT35“ slapyvardžiai, analizę. Mokslininkai teigė, kad kenkėjišką programinę įrangą naudoja grėsmių veikėjas, kurį jie vadina ITG18, įtariant ryšį su Iranu, tačiau ši APT taip pat labai sutampa su „Charming Kitten“.

Aptariama kenkėjiška programa vadinama „LittleLooter“ ir veikia kaip „Android“ įrenginių užpakalinė durys. Pasak „IBM“ tyrėjų, „LittleLooter“ yra įrankis, kurį naudoja tik ITG18 grupė. Tačiau tai taip pat yra viena su kai kuriomis dizaino problemomis.

Failas, kuriame yra kenkėjiška programa, buvo rastas serveryje, priklausančiame tariamai Irano įsilaužėlių grupei. Sudėtinis rodinys buvo „Android“ programų paketas, kuriame buvo įdiegta „WhatsApp“, pavadinta „WhatsApp.apk“, o MD5 kontrolinė suma „a04c2c3388da643ef67504ef8c6907fb“.

„LittleLooter“ yra įvairi vogimo priemonė, turinti daug galimybių, įskaitant vaizdo ir garso įrašymą iš užkrėsto įrenginio, failų įkėlimą ir filtravimą iš įrenginio, vykstančių pokalbių įrašymą, įdiegtų programų tikrinimą, įvairių įrenginio funkcijų įjungimo/išjungimo būsenos manipuliavimą, pvz. kaip „Bluetooth“, „Wi-Fi“ ir mobiliojo ryšio duomenys ir skambučių žurnalų tikrinimas.

Anksčiau mokslininkai taip pat atskleidė daugybę vaizdo įrašų, skirtų mokyti įsilaužėlius, kaip naudoti ankstesnę kenkėjiškos programos versiją. Naujausiame „LittleLooter“ yra antspaudas su v5, o vadovėliai, kaip naudoti kenkėjišką programą, buvo skirti v4.

Dėl savo valdymo ir valdymo infrastruktūros „LittleLooter“ bando susisiekti su serveriu, kuris teigia priklausantis Amerikos gėlių parduotuvei, visais įmanomais dalykais ir yra internete ir veikia nuo 2020 m. Vidurio. Ryšys yra suspaustas ir užšifruotas naudojant AES.

Kaip ir visos panašios atakos bei mobiliosios kenkėjiškos programos, IBM tyrėjai rekomendavo įgalinti kelių veiksnių autentifikavimą kuo daugiau įrenginių ir programų tuose įrenginiuose. Allison Wikoff, „IBM Security X-Force“ saugumo tyrinėtojas, teigė, kad mokslininkai ir toliau teiks į galvą MFA svarbą, kol jie taps „mėlyni į veidą“, ypač todėl, kad ne visi pardavėjai tai įgyvendina arba nustato, kad jie yra privalomi jų produktams.