Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Phần mềm gián điệp được ngụy trang dưới dạng ứng dụng theo dõi COVID-19 thực sự theo dõi người dùng

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 665

Một tác nhân độc hại khác đã vũ khí hóa một bản đồ theo dõi coronavirus tương tác, hợp pháp do Đại học Johns Hopkins tạo ra — lần này là để phân phối phần mềm gián điệp Android như một phần của chiến dịch bắt nguồn từ Libya và dường như nhắm mục tiêu vào các cá nhân trong quốc gia đó.

Phần mềm giám sát, được gọi là SpyMax, được đóng gói trong một ứng dụng trojan có tên “corona live 1.1”, theo một blog đăng bài ngày nay từ các nhà nghiên cứu tại Coi chưng người phát hiện ra kế hoạch. Nó có thể truy cập dữ liệu nhạy cảm của điện thoại Android và tin nhắn SMS, sửa đổi cài đặt, cung cấp thiết bị đầu cuối shell, ghi âm, vận hành máy ảnh, v.v.

Nó có thể làm tất cả những điều này bởi vì trước tiên nó hỏi những nạn nhân đã tải xuống cái gọi là trình theo dõi vi-rút về vô số quyền. SpyMax được cho là cùng họ với một phần mềm giám sát thương mại rẻ tiền khác có tên là SpyNote, có chức năng tương tự. Cả hai chương trình đều chứa một địa chỉ được mã hóa cứng để liên lạc với máy chủ C2.

Đầu tháng này, các nhà nghiên cứu an ninh mạng báo cáo rằng trình theo dõi COVID-19 của Johns Hopkins đã được sao chép, vũ khí hóa và đặt trong các miền độc hại trong chiến dịch lây nhiễm cho nạn nhân một biến thể của phần mềm độc hại AZORult đánh cắp thông tin. Đã có phiên bản thực, an toàn của bản đồ tại đây.

Ứng dụng corona live 1.1 độc hại là một phần của chiến dịch phần mềm giám sát lớn hơn đang hoạt động từ tháng 2019 năm 30. Chiến dịch này đã tận dụng 30 APK duy nhất, tất cả đều chia sẻ cùng một cơ sở hạ tầng, theo báo cáo của Lookout. Chỉ một ứng dụng khác trong số 19 ứng dụng này, được gọi là Crona, có chung chủ đề COVID-XNUMX. Những người khác tự xưng là trình phát phương tiện hoặc các loại ứng dụng khác.

Ba trong số các ứng dụng có mục đích là Tra cứu điện thoại di động Libya, một dịch vụ cho phép người dùng tìm tên khách hàng của một số điện thoại di động Libya tương ứng. Bài đăng trên blog của Lookout, tác giả của nhà nghiên cứu bảo mật Kristen del Rosso, cho biết: “Những ứng dụng bị trojan hóa này thuộc họ SpyNote và là những mẫu sớm nhất được nhập vào để giao tiếp với cơ sở hạ tầng C2. “Điều này cho thấy chúng có thể là những ứng dụng đầu tiên được triển khai trong chiến dịch giám sát này và cung cấp thông tin chi tiết về đối tượng nhân khẩu học được nhắm mục tiêu.”

Hơn nữa, miền C2 của phần mềm độc hại đã được phát hiện trước đó phân giải thành nhiều địa chỉ IP khác nhau do ISP Viễn thông và Công nghệ Libya điều hành, cho thấy một tác nhân người Libya đang nhắm mục tiêu đến những người ở Libya. Lookout không tìm thấy bằng chứng nào cho thấy chiến dịch được nhà nước tài trợ, nhưng cũng không thể loại trừ khả năng này.

“…[T]việc anh ấy thương mại hóa các bộ phần mềm gián điệp 'có sẵn' giúp những kẻ độc hại này thực hiện các chiến dịch riêng biệt này khá dễ dàng gần như nhanh chóng ngay khi một cuộc khủng hoảng như COVID-19 xảy ra,” bài đăng trên blog kết luận. “Đó là lý do tại sao, ngay cả trong thời kỳ khủng hoảng, điều quan trọng là tránh tải xuống ứng dụng từ các cửa hàng ứng dụng của bên thứ ba và nhấp vào các liên kết đáng ngờ cho các trang web hoặc ứng dụng 'cung cấp thông tin' lan truyền qua SMS, đặc biệt là từ một số không xác định."

Chủ đề:

Vi rút coronavirus Malware Mobile Security

Nguồn: https://www.scmagazine.com/home/security-news/mobile-security/spyware-disguised-as-covid-19-tracker-app-actually-keeps-track-of-users/

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.