Cybersecurity -onderzoekers hebben ontdekt dat dreigingsactoren bedrieglijke websites opzetten die op nieuw geregistreerde domeinen worden gehost om een bekende Android -malware te leveren, genaamd Spynote.
Deze nep -websites maken zich voor als Google Play Store -pagina’s voor apps zoals de Chrome Web Browser, wat een poging aangeeft om nietverstrekkende gebruikers te misleiden om in plaats daarvan de malware te installeren.
“De dreigingsacteur gebruikte een mix van Engelstalige en Chinese leveringssites en omvatte Chinees-taal opmerkingen binnen de afleveringssitecode en de malware zelf”, zei het Domaintools Investigations (DTI) -team in een rapport gedeeld met The Hacker News.
Spynote (AKA Spymax) is een externe toegang die Trojan al lang bekend staat om zijn vermogen om gevoelige gegevens te oogsten van gecompromitteerde Android -apparaten door toegankelijkheidsdiensten te misbruiken. In mei 2024 werd de malware gepropageerd via een andere nep -site die zich voordeed als een legitieme antivirusoplossing die bekend staat als Avast.
De daaropvolgende analyse door mobiel beveiligingsbedrijf Zimperium heeft overeenkomsten tussen Spynote en Gigabud opgegraven, waardoor de mogelijkheid wordt opgeroepen dat dezelfde dreigingsacteur of actoren achter de twee malwarefamilies zitten. Gigabud wordt toegeschreven aan een Chinees sprekende dreigingsacteur codenaam GoldFactory.
In de loop der jaren heeft Spynote ook een zekere mate van adoptie gezien door door de staat gesponsorde hackgroepen, zoals Oilalpha en andere onbekende acteurs.
De door DTI geïdentificeerde kloonwebsites bevatten een carrousel van afbeeldingen die, wanneer geklikt, een kwaadaardig APK -bestand op het apparaat van de gebruiker downloaden. Het pakketbestand fungeert als een dropper om een tweede ingesloten APK -payload te installeren via de interface DialogInterface.onClickListener die de uitvoering van de Spynote -malware mogelijk maakt wanneer een item in een dialoogvenster wordt geklikt.
“Bij installatie vraagt het agressief om tal van opdringerige machtigingen, waardoor het uitgebreide controle over het gecompromitteerde apparaat krijgt,” zei DTI.
“Deze bediening maakt de diefstal mogelijk van gevoelige gegevens zoals sms -berichten, contacten, oproeplogboeken, locatie -informatie en bestanden. Spynote heeft ook belangrijke externe toegangsmogelijkheden, waaronder camera- en microfoonactivering, oproepmanipulatie en willekeurige uitvoering van commando’s.”
De openbaarmaking komt wanneer uitkijkt onthulde dat het in 2024 meer dan 4 miljoen mobiel gerichte social engineering-aanvallen waargenomen, met 427.000 kwaadaardige apps gedetecteerd op bedrijfsapparaten en 1.600.000 kwetsbare app-detecties gedurende de periode.
“In de loop van de afgelopen vijf jaar zijn iOS -gebruikers blootgesteld aan aanzienlijk meer phishing -aanvallen dan Android -gebruikers,” zei Lookout. “2024 was het eerste jaar waarin iOS -apparaten meer dan twee keer zoveel werden blootgesteld als Android -apparaten.”
Intel -agentschappen waarschuwen voor Badbazaar en Moonshine
De bevindingen volgen ook een gezamenlijk advies dat wordt uitgegeven door cybersecurity en inlichtingendiensten uit Australië, Canada, Duitsland, Nieuw -Zeeland, het Verenigd Koninkrijk en de Verenigde Staten over de targeting van Uyghur, Taiwanese en Tibetaanse gemeenschappen met behulp van malware -families zoals Badbazaar en Moonshine.
Doelen van de campagne omvatten niet-gouvernementele organisaties (NGO’s), journalisten, bedrijven en leden van het maatschappelijk middenveld die pleiten voor of vertegenwoordigen deze groepen. “De willekeurige manier waarop deze spyware online wordt verspreid, betekent ook dat er een risico bestaat dat infecties zich kunnen verspreiden buiten de beoogde slachtoffers,” zeiden de agentschappen.
Zowel Badbazaar als Moonshine zijn geclassificeerd als Trojaanse paarden die in staat zijn om gevoelige gegevens van Android- en iOS -apparaten te verzamelen, inclusief locaties, berichten, foto’s en bestanden. Ze worden meestal verspreid via apps die worden doorgegeven als berichten, nutsbedrijven of religieuze apps.
Badbazaar werd voor het eerst gedocumenteerd door Lookout in november 2022, hoewel campagnes die de malware distribueren, al in 2018 aan de gang zijn. Moonshine, aan de andere kant, werd onlangs gebruikt door een bedreigingsacteur genaamd Earth Minotaur om te vergemakkelijken op langdurige surveillance-operaties gericht op Tibetans en Uyghurs.
Het gebruik van Badbazaar is gebonden aan een Chinese hackgroep die wordt gevolgd als APT15, ook bekend als Flea, Nylon Typhoon (voorheen Nickel), speelse Taurus, Royal Apt en Vixen Panda.
“Hoewel de iOS -variant van Badbazaar relatief beperkte mogelijkheden heeft ten opzichte van zijn Android -tegenhanger, heeft het nog steeds de mogelijkheid om persoonlijke gegevens van het apparaat van het slachtoffer te exfiltreren,” zei Lookout in een rapport gepubliceerd in januari 2024. “Bewijs suggereert dat het voornamelijk gericht was op de Tibetan -gemeenschap binnen China.”
Volgens het Cybersecurity Company worden gegevens verzameld uit de apparaten van de slachtoffers via Moonshine geëxfiltreerd naar een door aanvallers gecontroleerde infrastructuur die toegankelijk is via de zogenaamde Scotch Admin Panel, die details weergeven van gecompromitteerde apparaten en het niveau van toegang tot elk van hen. Vanaf januari 2024 werden 635 apparaten vastgelegd op drie Scotch admin -panelen.
In een gerelateerde ontwikkeling hebben de Zweedse autoriteiten Dilshat Reshit, een inwoner van Uyghur in Stockholm, gearresteerd op verdenking van het spioneren van collega -leden van de gemeenschap in het land. Reshit heeft sinds 2004 gediend als de Chinese taalvoerder van de Wereld Uyghur Congress (WUC).
