I ricercatori di Cybersecurity hanno scoperto che gli attori delle minacce stanno creando siti Internet ingannevoli ospitati su settori appena registrati per fornire un malware Android noto chiamato Spynote.
Questi siti Internet fasulli si mascherano come pagine di installazione di Google Play Retailer per app come il browser Internet Chrome, indicando invece un tentativo di ingannare gli utenti ignari nell’installazione del malware.
“L’attore delle minacce ha utilizzato un combine di siti di consegna in lingua inglese e cinese e ha incluso commenti in lingua cinese all’interno del codice del sito di consegna e il malware stesso”, il staff Domaintools Investigations (DTI) disse In un rapporto condiviso con le notizie di Hacker.
Spynote (AKA Spymax) è un Accesso remoto Trojan noto da tempo per la sua capacità di raccogliere dati sensibili da dispositivi Android compromessi abusando dei servizi di accessibilità. Nel maggio 2024, il malware period propagato tramite un altro sito fasullo che impersona una soluzione antivirus legittima nota come Avast.
L’analisi successiva della società di sicurezza cellular Zimperium ha scoperto Somiglianze tra Spynote e Gigabud, aumentando la possibilità che lo stesso attore o attori della minaccia sia dietro le due famiglie di malware. Gigabud è attribuito a un attore di minaccia di lingua cinese in codice Goldfactory.
Nel corso degli anni, Spynote ha anche visto un certo livello di adozione da parte di gruppi di hacking sponsorizzati dallo stato, come Oilalpha E altro attori sconosciuti.
I siti Internet di clone identificati da DTI includono una giostra di immagini che, se cliccate, scaricano un file APK dannoso sul dispositivo dell’utente. Il file del pacchetto funge da contagocce per installare un secondo payload APK incorporato tramite il DialogInterface.onclickListener Interfaccia Ciò consente l’esecuzione del malware Spynote quando si fa clic su un elemento in una finestra di dialogo.
“All’installazione, richiede aggressivamente numerose autorizzazioni invadenti, ottenendo un ampio controllo sul dispositivo compromesso”, ha affermato DTI.
“Questo controllo consente il furto di dati sensibili come messaggi SMS, contatti, registri delle chiamate, informazioni sulla posizione e file. Spynote vanta anche funzionalità di accesso remoto significative, tra cui l’attivazione della fotocamera e del microfono, la manipolazione delle chiamate e l’esecuzione del comando arbitrario.”
La divulgazione arriva mentre lookout ha rivelato che ha osservato oltre 4 milioni di attacchi di ingegneria sociale focalizzati sui dispositivi mobili nel 2024, con 427.000 app dannose rilevate su dispositivi aziendali e 1.600.000 rilevamenti di app vulnerabili durante il periodo di tempo.
“Nel corso degli ultimi cinque anni, gli utenti di iOS sono stati esposti a attacchi significativamente più di phishing rispetto agli utenti Android”, Lookout disse. “Il 2024 è stato il primo anno in cui i dispositivi iOS sono stati esposti più del doppio dei dispositivi Android.”
Le agenzie Intel avvertono di Badbazaar e Moonshine
I risultati seguono anche una consulenza congiunta emessa da agenzie di sicurezza informatica e intelligence provenienti da Australia, Canada, Germania, Nuova Zelanda, Regno Unito e Stati Uniti in merito al concentrating on di comunità di Uyghur, Taiwan e tibetani che usano famiglie di malware come Badbazaar e Moonshine.
Gli obiettivi della campagna includono organizzazioni non governative (ONG), giornalisti, aziende e membri della società civile che sostengono o rappresentano questi gruppi. “Il modo indiscriminato in cui questo adware si diffonde on-line significa anche che esiste un rischio che le infezioni possano diffondersi oltre le vittime previste”, le agenzie disse.
 |
| Un sottoinsieme di icone di app utilizzate dai campioni dello strumento di sorveglianza di luna a partire dal gennaio 2024 |
Entrambi Badbazaar e Moonshine sono classificati come trojan in grado di raccogliere dati sensibili dai dispositivi Android e iOS, tra cui posizioni, messaggi, foto e file. Sono in genere distribuiti tramite app che vengono trasmesse come messaggistica, utility o app religiose.
Badbazaar period Primo documentato Alle ricerca nel novembre 2022, sebbene le campagne che distribuiscono il malware siano state in corso già nel 2018. Moonshine, d’altra parte, è stato recentemente utilizzato da un attore di minaccia soprannominato Earth Minotaur Per facilitare le operazioni di sorveglianza a lungo termine rivolte a tibetani e uiguri.
L’uso di Badbazaar è stato legato a un gruppo di hacking cinese tracciato come Apt15che è anche noto come Flea, Nylon Hurricane (precedentemente nichel), Toro giocoso, Royal Apt e Vixen Panda.
“Mentre la variante iOS di Badbazaar ha capacità relativamente limitate rispetto alla sua controparte Android, ha ancora la capacità di esfiltrarsi i dati personali dal dispositivo della vittima”, lookoutout disse in un rapporto pubblicato nel gennaio 2024. “Le show suggeriscono che è stata mirata principalmente alla comunità tibetana all’interno della Cina”.
Secondo la società di sicurezza informatica, i dati raccolti dai dispositivi delle vittime tramite Moonshine sono esfiltrati a un’infrastruttura controllata dagli attaccanti a cui è possibile accedere tramite un cosiddetto pannello di amministrazione scozzese, che mostra i dettagli dei dispositivi compromessi e il livello di accesso a ciascuno di essi. A gennaio 2024, 635 dispositivi furono registrati attraverso tre pannelli di amministrazione scozzese.
In uno sviluppo correlato, le autorità svedesi hanno arrestato Dilshat Reshit, un residente di Uyghur a Stoccolma, con l’accusa di spionaggio contro altri membri della comunità nel paese. Reshit è stato portavoce del World Uyghur Congress (WUC) cinese in lingua cinese dal 2004.
