Spionprogram som kan spela in lösenord sprids med falska Skype- och signalappar

Attacker har inte råd att sluta i sin strävan att hitta nya och intressanta sätt att smitta offer med skadlig kod. Till exempel, när det gäller Android-användare, finns det kända infektionsvektorer som, mot bakgrund av det, fungerar ganska bra men inte är så effektiva som de brukade vara tidigare. Hackare driver ofta en enkel applikation som lovar att lägga till vissa funktioner i användarens enhet som en ficklampa eller en QR-kodskanner. Vid installationen begär appen behörigheter som inte är typiska för den annonserade funktionaliteten, men människor ignorerar ofta dem. Visst nog inser de senare att de faktiskt har installerat skadlig programvara på sina mobila enheter.

Det är en beprövad metod som fungerar fram till idag, men fler och fler människor blir medvetna om det. Dessutom vet de som kanske är mer mottagliga för högprofilerade attacker hur de kan skydda sig. Detta innebär att hotaktörer står inför en större utmaning, och säkert nog att de förstärker det.

Hackare sprider skadlig programvara med hjälp av trojaniserade legitima applikationer

I en ny intervju med ThreatPost talade Apurva Kumar från ett säkerhetsföretag som heter Lookout om vad hackarna har använt för att träffa sina mål med skadlig programvara. Efter att ha insett att människor börjar vara lite mer försiktiga med apparna som de installerar på sina enheter, försöker angriparna nu att lura dem med namnen på legitima, välkända onlinetjänster.

Kumar noterade specifikt att vissa spionprogramskådespelare använder namnet Skype och Signal för att driva mål för att installera skadlig programvara. Användningen av dessa två applikationer är beroende av att de har tillgång till saker som kameran och kontaktlistan som sparats på enheten, vilket innebär att målen är mindre benägna att bli misstänkta. Dessutom erbjuds användare ett känt, igenkännligt märke och logotyp, och inte en slumpmässig app som lovar att skanna QR-koder (något som din telefon troligtvis kan ändå).

Det måste sägas att Kumars fokus var på attacker riktade mot högvärdesmål och inte slumpmässiga användare. I dessa attacker är det helt enkelt inte tillräckligt att sätta den skadliga appen under ett hushållsnamn. Forskaren sa att i de fall hon undersökte tog skurkarna legitima Skype- eller signalapplikationer, packade upp dem och injicerade sin skadliga kod inuti dem. På detta sätt skulle målet installera appen med alla dess vanliga funktioner, och det är mindre troligt att de ser att deras data sippas bort.

Monokle lever och sparkar

Apurva Kumars intervju handlade om en familj av Android-spionprogram eller övervakningsprogram som heter Monokle. Det har funnits sedan åtminstone 2015, men det var inte förra sommaren när Lookouts experter såg det och undersökte det mer detaljerat.

Säkerhetsföretaget tillskrev till och med det extremt mångsidiga spionprogrammet till ett ryskt företag som heter Special Technology Center (STC). STC utvecklar säkerhetsprodukter för Android, men det tros också ha starka anslutningar till den ryska regeringen. 2016 sanktionerades företaget av Obama-administrationen för att ha stört de amerikanska presidentvalen, som, om Lookouts tillskrivning är korrekt, inte riktigt har gjort mycket för att avskräcka det från att fortsätta med distributionen av spionprogram.

Regelbundna användare drabbas inte särskilt av trojaniserade Skype- och signalapplikationer som bär Monokle. Som vi nämnde i vår tidigare artikel är spionprogrammet extremt sofistikerat och används sannolikt endast på högprofilerade mål. Detta betyder emellertid inte att andra hotaktörer inte kommer att notera STC: s påstådda taktik, så att hålla ditt förnuft om dig även när du installerar till synes igenkännbara applikationer är lika viktigt som någonsin.