Cybersecurity-onderzoekers hebben een nieuwe, grootschalige mobiele malware-campagne ontdekt die zich richt op Android- en iOS-platforms met nepdating, sociale netwerken, cloudopslag en autoservice-apps om gevoelige persoonlijke gegevens te stelen.
De platformonafhankelijke dreiging is door Zimperium ZLabs voor de codenaam Sarangtrap. Gebruikers in Zuid -Korea lijken de primaire focus te zijn.
“Deze uitgebreide campagne omvatte meer dan 250 kwaadaardige Android -applicaties en meer dan 80 kwaadaardige domeinen, allemaal vermomd als legitieme dating- en sociale media -applicaties,” zei beveiligingsonderzoeker Rajat Goyal.
De nep -domeinen, die zich voordoen als legitieme listingpagina’s van de app store, worden gebruikt als een lokmiddel om gebruikers te misleiden om deze apps te installeren, wat resulteert in de exfiltratie van contactlijsten en afbeeldingen, terwijl je een illusie van legitimiteit bijhoudt.
Eenmaal geïnstalleerd, vragen de Android-apps ook het slachtoffer om een uitnodigingscode in te voeren, waarna deze is gevalideerd tegen een command-and-control (C2) -server. De app gaat vervolgens verder met het aanvragen van gevoelige machtigingen waarmee deze toegang heeft tot sms -berichten, contactlijsten en bestanden onder het voorwendsel van het aanbieden van de geadverteerde functionaliteit.
Het koppelen van de activering van het kwaadaardige gedrag aan een uitnodigingscode is om de beurten slim en stiekem, omdat het de malware in staat stelt dynamische analyses en antivirusscans en silenty hoover -gegevens te ontwijken.
De iOS -versie van de campagne is gevonden om gebruikers te verleiden om een misleidend mobiel configuratieprofiel op hun apparaat te installeren en vervolgens de configuratie te gebruiken om de app -installatie te vergemakkelijken om contacten, foto’s en de fotobibliotheek te maken.
De campagne zou in actieve ontwikkeling zijn, met nieuwe varianten van de malwaremonsters die zichzelf beperken tot het verzamelen van contacten, afbeeldingen en apparaatinformatie naar een externe server. Er zijn ook aanwijzingen dat de dreigingsacteurs achter de activiteit hun toevlucht hebben genomen tot het chanteren van slachtoffers met bedreigingen om persoonlijke video’s te delen met familieleden.
“Dit verontrustende verhaal is geen geïsoleerd incident; het benadrukt de psychologische manipulatie en social engineering tactieken die deze campagnes gebruiken om te profiteren van emotionele kwetsbaarheid,” zei Goyal.
“Slachtoffers worden verleid om malware te installeren met de belofte van gezelschap, alleen om te ontdekken dat ze worden gevangen in een cyclus van surveillance, afpersing en vernedering.”
De openbaarmaking komt in de nasleep van een andere campagne die 607 Chinees-taaldomeinen heeft opgezet om kwaadaardige applicatiebestanden (APK’s) te distribueren die zich voordoen als de Telegram-berichten-app via een QR-code ingebed op de site en externe opdrachten in realtime uitvoeren om gegevensdiefstal, surveillance en controle over het apparaat te gebruiken met behulp van de MediaPlayer API.
“De APK werd ondertekend met een V1 -handtekeningschema, waardoor het kwetsbaar was voor de Janus -kwetsbaarheid op Android 5.0 – 8.0,” zei BForeai. “Deze kwetsbaarheid stelt aanvallers in staat om bedrieglijke toepassingen te maken.”
“Nadat het de kwaadaardige applicatie heeft opgesteld, wordt deze vervolgens opnieuw verpakt met behulp van de oorspronkelijke V1 -handtekening. Deze aanpassing blijft onopgemerkt, waardoor de gecompromitteerde app kan worden geïnstalleerd zonder achterdocht te veroorzaken. In wezen kunnen aanvallers een app meer gevaarlijk maken, herverdistribueren het als een APK en trickgebruikers (vooral op oudere hulpmiddelen) in het installeren van het te installeren, terwijl het volledig omschrijft.”
Het nabootsen van vertrouwde en populaire online platforms is een succesvolle compromis vector geweest, zoals blijkt uit Android-campagnes die zich richten op Indian Bank-klanten en Bengaals sprekende gebruikers, met name mensen uit Bangladesh die in Saoedi-Arabië, Maleisië, Maleisië en de Verenigde Arabische Emiraten wonen, met kwaadaardige apps die poseren als financiële diensten die worden gedistribueerd via phishing sites en Facebook-pagina’s.
De applicaties zijn ontworpen om gebruikers te misleiden om hun persoonlijke informatie in te voeren als onderdeel van een verondersteld accountcreatieproces, en het vastleggen van gegevens die door hen worden verstrekt in de nep -transactie -interfaces die zijn ontworpen om mobiele geldoverdrachten, factuurbetalingen en banktransfers te simuleren. In werkelijkheid wordt geen echte transactie uitgevoerd.
“Hoewel de aanvalstechnieken niet nieuw zijn, weerspiegelen de culturele targeting en aanhoudende activiteiten van de campagne hoe cybercriminelen hun strategieën blijven aanpassen om specifieke gemeenschappen te bereiken,” zei McAfee Labs -onderzoeker Dexter Shin.
De malware verspreid door de Indiase bankdiensten, van zijn kant, maakt gebruik van Firebase voor C2 -bewerkingen en maakt gebruik van phishingpagina’s om echte gebruikersinterfaces na te bootsen en een breed scala aan gegevens te oogsten, inclusief betaalpasgegevens en SIM -informatie. Het bevat ook oproepstortrekkings- en externe aanroepfuncties.
Een ander Aziatisch land dat het doelwit is geworden van Android -malware -aanvallen is Vietnam, waar phishing -sites die zich voordoen als financiële en overheidsinstellingen worden gebruikt om een nieuw bankieren Trojan genaamd Redhook te propageren.
“Het communiceert met de opdracht-en-control (C2) -server met WebSocket en ondersteunt meer dan 30 externe opdrachten, waardoor volledige controle over gecompromitteerde apparaten mogelijk wordt,” zei Cyble. “Code-artefacten, inclusief Chinese-talen, suggereren ontwikkeling door een Chinees sprekende dreigingsacteur of groep.”
Een opmerkelijk kenmerk van de RedHook is de combinatie van keylogging en externe toegang Trojan (RAT) -mogelijkheden om diefstal van diefstal en financiële fraude uit te voeren. Het misbruikt ook de toegankelijkheidsservices van Android om overlay -aanvallen uit te voeren en maakt gebruik van de MediProjection API om scherminhoud vast te leggen.
Hoewel de campagne nieuw is, heeft een blootgestelde AWS S3 -bucket die door de dreigingsacteur wordt gebruikt, geüploade screenshots, nep bankingjablonen, PDF -documenten en afbeeldingen die het gedrag van de malware beschrijven die dateren uit 27 november 2024 beschreven.
“De ontdekking van Redhook benadrukt de groeiende verfijning van Android Banking Trojans die phishing, externe toegang en keylogging combineren om financiële fraude uit te voeren,” voegde het bedrijf eraan toe. “Door gebruik te maken van legitieme Android -API’s en het misbruiken van toegankelijkheidsmachtigingen, krijgt Redhook heimelijk een diepe controle over geïnfecteerde apparaten terwijl hij onder de radar van veel beveiligingsoplossingen blijft.”
Malicious Android APK’s Masquerading als populaire merken en het exploiteren van sociale engineering en off-market distributiekanalen is ook gevonden om gegevens te overhangen en netwerkverkeer te kapen voor het genereren van inkomsten, vaak met het einddoel van het simuleren van gebruikersactiviteiten om AD-statistieken op te blazen of gebruikers te omkeren door affiliate trechter voor illegale inkomsten generatie.
Naast het opnemen van cheques voor sandboxed en gevirtualiseerde omgevingen, hebben de apps een modulair ontwerp om naar believen geavanceerde functionaliteit in te schakelen.
“Het maakt gebruik van de open-source tool ApksignatureKillerex om het native handtekeningverificatieproces van Android te ondermijnen, waardoor de injectie van een secundaire payload (Origin.Apk) in de directory van de applicatie mogelijk is,” zei Trustwave Spiderlabs. “Dit stuurt effectief de uitvoering naar kwaadwillende code uit met behoud van het uiterlijk van de app als een legitiem, correct ondertekend pakket, zowel voor het besturingssysteem als voor gebruikers.”
De campagne is niet toegeschreven aan een bekende dreigingsacteur of groep, hoewel het gebruik van advertentiefraudetactieken een mogelijke connectie met Chinees sprekende criminele groepen suggereert.
Dat is niet alles. Nieuw onderzoek van Iverify heeft aangetoond dat het opzetten van nieuwe op Android gerichte campagnes net zo eenvoudig kan zijn als het huren van een malware-as-a-service (MAAS) -kit zoals Phantomos of Nebula voor een maandelijks abonnement, waardoor de lat verder wordt verlaagd voor cybercriminaliteit.
“Sommige van deze kits worden geleverd met functies 2FA -onderschepping, de mogelijkheid om antivirussoftware, Silent App -installaties, GPS -tracking en zelfs phishing -overlays te omzeilen die specifiek zijn voor een merk,” zei onderzoeker Daniel Kelley. “De platforms worden geleverd met alles wat ze nodig hebben, zoals ondersteuning via telegram, backend-infrastructuur en ingebouwde manieren om te omzeilen van Google Play Protect.”
Ook aangeboden op ondergrondse forums zijn crypters en exploitkits waarmee de malware onder de radar kan blijven en de infecties op schaal kan verspreiden met behulp van sociale engineeringtechnieken. Een dergelijke tool is Android ADB -scanner, die op zoek is naar open Android Debug Bridge (ADB) -poorten en een kwaadaardig APK -bestand duwt zonder de kennis van het slachtoffer. De service is beschikbaar voor ongeveer $ 600-$ 750.
“Misschien is de meest interessante ontwikkeling in dit ecosysteem de commoditisering van geïnfecteerde apparaten zelf,” merkte Kelley op. “Zogenaamde ‘installatiemarkten laten cybercriminelen toegang kopen tot reeds gecompromitteerde Android-apparaten in bulk.”
Markten zoals Valhalla bieden apparaten aangetast door banktrojanen zoals ERMAC, Hook, Hydra en Octo in een gekozen land tegen betaling. Deze aanpak overbrengt de noodzaak voor aanvallers om zelf malware te verspreiden of apparaten te infecteren. In plaats daarvan kunnen ze gewoon een netwerk van bestaande bots verwerven om activiteiten van hun keuze uit te voeren.
Om de risico’s van dergelijke apps te verminderen, wordt het geadviseerd om voorzichtig te blijven met apps die ongebruikelijke machtigingen of uitnodigingscodes vereisen, apps te downloaden uit niet -vertrouwde bronnen of niet -officiële app -winkels en periodiek beoordelingsvoorzieningen en geïnstalleerde profielen.
