Spyware som kan registrere passord spres ved hjelp av falske Skype- og signalapper

Angripere har ikke råd til å stoppe i deres søken etter å finne nye og interessante måter å infisere ofre med skadelig programvare. For eksempel, når det gjelder Android-brukere, er det kjente infeksjonsvektorer som i motsetning til det fungerer ganske bra, men ikke er så effektive som de pleide å være. Hackere skyver ofte en enkel applikasjon som lover å legge til visse funksjoner på brukernes enhet som en lommelykt eller en QR-kodeskanner. Ved installasjon ber appen om tillatelser som ikke er typiske for den annonserte funksjonaliteten, men folk ignorerer dem ofte. Selvfølgelig, de innser senere at de faktisk har installert ondsinnet programvare på sine mobile enheter.

Det er en velprøvd metode som fungerer til i dag, men flere og flere blir klar over det. Dessuten vet de som kan være mer utsatt for høyprofilerte angrep hvordan de kan beskytte seg. Dette betyr at trusselaktører står overfor en større utfordring, og helt sikkert, at de trapper opp til det.

Hackere sprer malware med hjelp av trojaniserte legitime applikasjoner

I et nylig intervju med ThreatPost snakket Apurva Kumar fra et sikkerhetsselskap som heter Lookout om hva hackerne har brukt for å treffe målene sine med malware. Etter å ha innsett at folk begynner å være litt mer forsiktige med appene de installerer på enhetene sine, prøver angriperne nå å lure dem ved å bruke navnene på legitime, velkjente online tjenester.

Spesielt bemerket Kumar at noen spyware-aktører bruker navnene på Skype og Signal for å presse mål til å installere skadelig programvare. Driften av disse to applikasjonene er avhengig av at de har tilgang til ting som kameraet og kontaktlisten som er lagret på enheten, noe som betyr at målene sannsynligvis ikke blir mistenkelige. Dessuten tilbys brukere et kjent, gjenkjennelig merke og logo, og ikke en tilfeldig app som lover å skanne QR-koder (noe telefonen din sannsynligvis er i stand til uansett).

Det må sies at Kumars fokus var på angrep rettet mot mål med høy verdi, og ikke tilfeldige brukere. I disse angrepene er det ganske enkelt ikke nok å sette den ondsinnede appen under et husholdningsnavn. Forskeren sa at i tilfellene hun har undersøkt, tok skurkene legitime Skype- eller signalapplikasjoner, pakket dem ut og sprøyt den ondsinnede koden inn i dem. På denne måten vil målet installere appen med alle vanlige funksjoner, og det er mindre sannsynlig at de ser at dataene deres blir forsinket.

Monokle er i live og sparker

Apurva Kumars intervju sentrerte rundt en familie med Android-spionprogrammer eller overvåkingsprogrammer kalt Monokle. Det har eksistert siden minst 2015, men det var ikke før i fjor sommer da Lookouts eksperter oppdaget det og undersøkte det nærmere.

Sikkerhetsselskapet tilskrev til og med den ekstremt allsidige spionprogramvaren til et russisk selskap kalt Special Technology Center (STC). STC utvikler sikkerhetsprodukter for Android, men det er også antatt å ha sterke forbindelser til den russiske regjeringen. I 2016 ble selskapet sanksjonert av Obama-administrasjonen for å ha forstyrret de amerikanske presidentvalgene, som, hvis utkikksattribusjon er nøyaktig, ikke virkelig har gjort mye for å avskrekke det fra å fortsette med distribusjonen av spionprogrammer.

Vanlige brukere er ikke spesielt sannsynlig å bli rammet av trojaniserte Skype- og signalapplikasjoner som bærer Monokle. Som vi nevnte i vår forrige artikkel, er spionprogramvaren ekstremt sofistikert, og den brukes sannsynligvis bare på høyprofilerte mål. Dette betyr imidlertid ikke at andre trusselaktører ikke vil legge merke til STCs påståtte taktikk, så det er like viktig som alltid å holde kløftene om deg selv når du installerer tilsynelatende gjenkjennelige applikasjoner.