Badacze odkrywają nowe mobilne złośliwe oprogramowanie Charming Kitten

Badacze bezpieczeństwa współpracujący z IBM opublikowali niedawno analizę nowego szkodliwego oprogramowania dla Androida, które jest rozprzestrzeniane i wykorzystywane przez cyberprzestępców znanych pod aliasami Charming Kitten i APT35. Badacze stwierdzili, że złośliwe oprogramowanie jest wykorzystywane przez cyberprzestępcę, którego nazywają ITG18, z podejrzeniem powiązania z Iranem, ale ten APT w znacznym stopniu pokrywa się również z Charming Kitten.

Omawiane złośliwe oprogramowanie nazywa się „LittleLooter” i działa jako backdoor dla urządzeń z systemem Android. LittleLooter to narzędzie używane tylko przez grupę ITG18, według badaczy IBM. Jednak jest to również jeden z pewnymi problemami projektowymi.

Plik zawierający szkodliwe oprogramowanie został znaleziony na serwerze należącym i powiązanym z rzekomo irańską grupą hakerów. Kontenerem był pakiet aplikacji na Androida udający instalator dla WhatsApp o nazwie „WhatsApp.apk”, z sumą kontrolną MD5 „a04c2c3388da643ef67504ef8c6907fb”.

LittleLooter to urozmaicony złodziej z wieloma możliwościami, które obejmują nagrywanie wideo i dźwięku z zainfekowanego urządzenia, przesyłanie i eksfiltrowanie plików z urządzenia, nagrywanie trwających rozmów, sprawdzanie zainstalowanych aplikacji, manipulowanie stanem włączenia/wyłączenia różnych funkcji urządzenia, takich jak jako Bluetooth, Wi-Fi i dane mobilne oraz sprawdzanie dzienników połączeń.

Badacze wcześniej odkryli również wiele godzin filmów, które miały szkolić hakerów, jak korzystać z poprzedniej wersji złośliwego oprogramowania. Najnowszy LittleLooter jest ostemplowany wersją 5, podczas gdy samouczki dotyczące korzystania ze złośliwego oprogramowania dotyczą wersji 4.

W przypadku infrastruktury dowodzenia i kontroli LittleLooter próbuje skontaktować się z serwerem, który twierdzi, że należy do amerykańskiej kwiaciarni, ze wszystkich możliwych rzeczy, i jest online i działa od połowy 2020 roku. Komunikacja jest zarówno skompresowana, jak i zaszyfrowana za pomocą AES.

Podobnie jak w przypadku wszystkich podobnych ataków i mobilnego szkodliwego oprogramowania, badacze IBM zalecili włączenie uwierzytelniania wieloskładnikowego na jak największej liczbie urządzeń i aplikacji na tych urządzeniach. Allison Wikoff, badacz bezpieczeństwa z IBM Security X-Force, powiedział, że badacze będą nadal podkreślać znaczenie MFA, dopóki nie staną się "niebieskie na twarzy", zwłaszcza że nie wszyscy dostawcy wdrażają go lub czynią to obowiązkowym dla swoich produktów.