Правительственные хакеры распространяли Android-троян через сирийский госпортал

Чт 22 Июль 2021 13:14

APT-группа StrongPity, специализирующаяся на кибершпионаже, пополнила свой хакерский арсенал вредоносным ПО для Android, который в недавней кампании распространяла через электронный портал правительства Сирии. Это первый известный случай использования группировкой Android-вредоносов.

По данным специалистов компании Trend Micro, злоумышленники скомпрометировали правительственный сайт и заменили легитимное приложение вредоносной версией, способной похищать списки контактов и файлы с определенным расширением с устройства жертвы, в частности, документы Word и Excel, PDF-файлы, изображения, ключи безопасности и файлы, сохраненные с помощью Dagesh Pro Word Processor (.DGS). Вся эта информация отправляется на управляющий сервер.

Троянизированная версия запрашивает дополнительные разрешения на телефоне, в том числе возможность просматривать контакты, осуществлять запись во внешнее хранилище, поддерживать устройство в активном состоянии, получать доступ к информации о геоположении, сотовой и Wi-Fi-сетях и даже автоматически запускаться после загрузки системы.

Кроме того, приложение может осуществлять продолжительные по времени задачи в фоновом режиме и инициировать запросы к управляющему серверу, который в ответ отправляет зашифрованную полезную нагрузку, содержащую файл с настройками, позволяющими «вредоносной программе менять поведение в соответствии с конфигурацией».

StrongPity, также известная как Promethium, осуществляет атаки с 2012 года и в основном сконцентрирована на объектах в Турции и Сирии.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 133 дня 10 часов 21 минута 22 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.