Исследователи обнаружили новое вредоносное ПО для мобильных устройств Charming Kitten
Исследователи безопасности, работающие с IBM, недавно опубликовали анализ нового вредоносного ПО для Android, которое распространяется и используется злоумышленником, известным под псевдонимами Charming Kitten и APT35. Исследователи заявили, что вредоносное ПО используется злоумышленником, которого они называют ITG18, подозреваемым в связях с Ираном, но что этот APT также имеет значительное совпадение с Charming Kitten.
Рассматриваемая вредоносная программа называется LittleLooter и действует как бэкдор для устройств Android. По словам исследователей IBM, LittleLooter - это инструмент, который используется только группой ITG18. Однако в нем также есть некоторые проблемы с дизайном.
Файл, содержащий вредоносное ПО, был обнаружен на сервере, принадлежащем предположительно иранской хакерской группе и связанном с ней. Контейнер представлял собой пакет приложения Android, представляющий собой установщик WhatsApp с именем «WhatsApp.apk», с контрольной суммой MD5 «a04c2c3388da643ef67504ef8c6907fb».
LittleLooter - это разнообразный стилер с множеством возможностей, включая запись видео и звука с зараженного устройства, загрузку и извлечение файлов с устройства, запись текущих разговоров, проверку установленных приложений, управление состоянием включения / выключения различных функций на устройстве, таких как как Bluetooth, Wi-Fi и мобильные данные, а также проверка журналов вызовов.
Ранее исследователи также обнаружили часы видео, предназначенных для обучения хакеров использованию предыдущей версии вредоносного ПО. Самая последняя версия LittleLooter имеет отметку v5, а руководства по использованию вредоносной программы относятся к версии v4.
Для своей инфраструктуры управления и контроля LittleLooter пытается связаться с сервером, который утверждает, что он принадлежит американскому цветочному магазину, и все это работает с середины 2020 года. Связь как сжимается, так и зашифровывается с использованием AES.
Как и в случае со всеми аналогичными атаками и мобильным вредоносным ПО, исследователи IBM рекомендовали включить многофакторную аутентификацию на как можно большем количестве устройств и приложений на этих устройствах. Эллисон Викофф, исследователь безопасности из IBM Security X-Force, сказала, что исследователи будут продолжать твердить о важности MFA до тех пор, пока им не «посинет лицо», особенно потому, что не все поставщики реализуют его или делают обязательным для своих продуктов.