Zestawienie tygodniowe 27 września – 4 października

10 milionów ofiar złośliwych aplikacji na Androida

Jak podaje Zimperium zLabs, niedawno odkryto kampanię mobilnych usług premium z ponad 10 milionami ofiar na całym świecie. Łączna, skradziona kwota może sięgać setek milionów euro. Podczas gdy typowe oszustwa związane z usługami premium wykorzystują techniki phishingu, to specyficzne globalne oszustwo ukryło się za złośliwymi aplikacjami na Androida działającymi jako trojany, umożliwiając im wykorzystanie interakcji użytkownika w celu zwiększenia rozprzestrzeniania się i infekcji.

Te aplikacje na Androida wydają się nieszkodliwe, gdy czytamy ich opis w e-sklepie i widzimy, żądane uprawnienia, ale to fałszywe poczucie zaufania. Zmienia się, gdy użytkownicy są obciążani co miesiąc opłatami za usługę premium.

Dowody kryminalistyczne dotyczące tego aktywnego ataku trojana dla systemu Android, który został nazwany GriftHorse, sugerują, że grupa hackerów prowadzi tę kampanię od listopada 2020 r. Te złośliwe aplikacje były początkowo dystrybuowane zarówno za pośrednictwem Google Play, jak i sklepów z aplikacjami innych firm. Zimperium zLabs zgłosiło wyniki do Google, który zweryfikował podane informacje i usunął oprogramowanie z Google Play. Jednak aplikacje są nadal dostępne w niezabezpieczonych repozytoriach innych firm.

Trojan dystrybuowany przez fałszywą stronę Amnesty International

Grupa hackerska rozpowszechnia mało znanego trojana – Sarwent za pośrednictwem fałszywej strony internetowej, która podszywa się pod Amnesty International i twierdzi, że zapewnia ochronę przed mobilnym i znanym również w Polsce oprogramowaniem Pegasus.

Według badaczy bezpieczeństwa z Cisco Talos, atak jest wymierzony w osoby, które uważają, że mogły być celem oprogramowania szpiegującego Pegasus NSO Group i mogą być powiązane z działalnością państw narodowych, ale Talos nie zidentyfikował jeszcze powiązań z konkretnym podmiotem zagrażającym.

Pegasus, początkowo opisany w 2016 r., jest kontrowersyjnym narzędziem inwigilacyjnym, które pomimo twierdzeń o legalnym użytkowaniu było podobno wykorzystywane przez represyjne reżimy w kampaniach wymierzonych w dziennikarzy, obrońców praw człowieka i inne osoby sprzeciwiające się reżimowi.

Po szczegółowym raporcie Amnesty International na temat Pegasusa opublikowanym w lipcu tego roku i wydaniu przez Apple łat dla exploita zero-day ForcedEntry, wiele osób zaczęło szukać ochrony przed oprogramowaniem szpiegującym, a hakerzy postanowili to wykorzystać.

Fałszywa strona internetowa została zaprojektowana tak, aby wyglądać podobnie do strony Amnesty International. Twierdzi, że oferuje „Amnesty Anti Pegasus”, narzędzie antywirusowe, które rzekomo może chronić przed oprogramowaniem szpiegującym NSO Group.

Zamiast tego użytkownicy otrzymują narzędzie zdalnego dostępu Sarwent (RAT), które umożliwia atakującym łatwe przesyłanie i wykonywanie ładunków na zaatakowanych maszynach, a także wyprowadzanie wszelkich danych uznanych za interesujące.

Jak wynika z raportu Cisco Talos, kampania ta, choć niewielka, przyciągała ofiary na całym świecie, w tym w Stanach Zjednoczonych, Wielkiej Brytanii, Kolumbii, Czechach, Indiach, Rumunii, Rosji i na Ukrainie.