Spyware die wachtwoorden kan registreren, wordt verspreid met behulp van nep-Skype en signaal-apps

Aanvallers kunnen het zich niet veroorloven te stoppen met hun zoektocht naar nieuwe en interessante manieren om slachtoffers met malware te infecteren. Als het bijvoorbeeld om Android-gebruikers gaat, zijn er bekende infectievectoren die op het eerste gezicht redelijk goed werken, maar niet zo effectief zijn als vroeger. Hackers pushen vaak een eenvoudige applicatie die belooft bepaalde functies aan het apparaat van de gebruiker toe te voegen, zoals een zaklamp of een QR-codescanner. Na installatie vraagt de app toestemming die niet typisch is voor de geadverteerde functionaliteit, maar mensen negeren deze vaak. En inderdaad, later beseffen ze dat ze daadwerkelijk schadelijke software op hun mobiele apparaten hebben geïnstalleerd.

Het is een beproefde methode die tot op de dag van vandaag werkt, maar steeds meer mensen worden zich ervan bewust. Bovendien weten degenen die vatbaarder zijn voor spraakmakende aanvallen zichzelf te beschermen. Dit betekent dat bedreigingsactoren voor een grotere uitdaging staan, en ze gaan er inderdaad voor op.

Hackers verspreiden malware met behulp van legitieme legitieme applicaties

In een recent interview met ThreatPost vertelde Apurva Kumar van een beveiligingsbedrijf genaamd Lookout over wat de hackers hebben gebruikt om hun doelen met malware te raken. Nu ze zich realiseren dat mensen wat voorzichtiger beginnen te worden met de apps die ze op hun apparaten installeren, proberen de aanvallers hen te misleiden met de namen van legitieme, bekende online services.

Kumar merkte met name op dat sommige spywareactoren de namen Skype en Signal gebruiken om doelen te pushen om malware te installeren. De werking van deze twee applicaties is afhankelijk van het feit dat ze toegang hebben tot zaken als de camera en de contactenlijst die op het apparaat is opgeslagen, wat betekent dat de doelen minder snel verdacht worden. Bovendien krijgen gebruikers een bekend, herkenbaar merk en logo aangeboden, en geen willekeurige app die belooft QR-codes te scannen (iets waar je telefoon waarschijnlijk toch toe in staat is).

Het moet gezegd dat Kumar zich richtte op aanvallen gericht op waardevolle doelen, en niet op willekeurige gebruikers. Bij deze aanvallen is het simpelweg niet voldoende om de kwaadaardige app onder een bekende naam te plaatsen. De onderzoekster zei dat de oplichters in de door haar onderzochte gevallen legitieme Skype- of Signal-toepassingen gebruikten, deze uitpakten en hun schadelijke code erin injecteerden. Op deze manier zou het doelwit de app met al zijn reguliere mogelijkheden installeren en zullen ze minder snel zien dat hun gegevens worden overgeheveld.

Monokle leeft en schopt

Het interview van Apurva Kumar ging over een familie van Android-spyware of surveillanceware genaamd Monokle. Het bestaat al sinds ten minste 2015, maar het was pas afgelopen zomer toen de experts van Lookout het zagen en nader bekeken.

Het beveiligingsbedrijf schreef de extreem veelzijdige spyware zelfs toe aan een Russisch bedrijf genaamd Special Technology Center (STC). STC ontwikkelt beveiligingsproducten voor Android, maar er wordt ook gedacht dat het sterke banden heeft met de Russische overheid. In 2016 werd het bedrijf gesanctioneerd door de regering-Obama omdat het zich bemoeide met de Amerikaanse presidentsverkiezingen, die, als de toeschrijving van Lookout juist is, er niet veel toe heeft gedaan om het te beletten door te gaan met het verspreiden van spyware.

Gewone gebruikers zullen niet bijzonder getroffen worden door trojanized Skype- en Signal-applicaties met Monokle. Zoals we in ons vorige artikel al zeiden, is de spyware uiterst geavanceerd en wordt deze waarschijnlijk alleen gebruikt op spraakmakende doelen. Dit betekent echter niet dat andere actoren van bedreigingen geen aandacht zullen schenken aan de vermeende tactieken van STC, dus het is belangrijker dan ooit om uw verstand te bewaren, zelfs wanneer u schijnbaar herkenbare applicaties installeert.