Threat Database Spyware Android / Spy23C.A

Android / Spy23C.A

Android / Spy23C.A est une menace de cheval de Troie Android conçue pour infiltrer et collecter diverses dates sensibles à partir d'appareils mobiles Android. Selon les chercheurs qui l'ont analysé, cette menace particulière n'est pas tout à fait unique. Au lieu de cela, il représente une version modifiée avec des fonctionnalités largement étendues de la menace Android précédemment détectée qui fait partie du répertoire d'un groupe de menaces persistantes avancées (APT) appelé APT-C-23 (aka Two-Tailed Scorpion ou Desert Scorpion ). Les précédentes campagnes menaçantes d'APT-C-23 visaient les utilisateurs du Moyen-Orient et Android / Spy23C.A a été utilisé à peu près de la même manière.

Android / Spy23C.A est beaucoup plus puissant que les versions précédentes

Pour mener à bien ses activités de collecte de données, Android / Spy23C.A doit d'abord convaincre l'utilisateur ciblé de lui accorder plusieurs autorisations plutôt invasives. C'est peut-être la raison pour laquelle les créateurs du cheval de Troie ont décidé d'utiliser des applications de messagerie comme un déguisement plausible. Les astuces d'ingénierie sociale trompeuses commencent avant même l'installation, car Android / Spy23C.A demandera à être autorisé à enregistrer de l'audio et de la vidéo, à prendre des photos, à lire et à envoyer des SMS, ainsi qu'à lire et modifier les contacts sur l'appareil. Après l'installation, la menace profitera de l'utilisateur sans méfiance pour étendre davantage son contrôle sur l'appareil en acquérant des autorisations supplémentaires, mais cette fois cachant ses véritables intentions derrière des prétentions trompeuses pour diverses fonctionnalités. Par exemple, le cheval de Troie dit à l'utilisateur qu'il peut effectuer des chats vidéo privés mais qu'en réalité, il pourra enregistrer l'écran de l'appareil. Dans un autre cas, l'utilisateur sera invité à autoriser le chiffrement des messages, ce qui permettra à Android / Spy23C.A d'acquérir la capacité de lire les notifications de l'utilisateur.

Pour masquer sa présence et son activité nuisible, le cheval de Troie demande à ses victimes d'installer manuellement l'application de messagerie légitime après son exécution. Le résultat est que l'utilisateur a accès à l'application réelle avec toutes ses fonctions tandis qu'Android / Spy23C.A collecte des données en arrière-plan sans attirer beaucoup d'attention en silence. Dans certains cas, cependant, lorsque le cheval de Troie se fait passer pour WeMessage, AndroidUpdate, et d'autres, les applications téléchargées par les victimes ne servent que de distraction sans avoir aucune fonctionnalité réelle.

Android / Spy23C.A possède toutes les capacités des versions précédentes utilisées par APT-C-23. Il peut exfiltrer les journaux d'appels, les SMS, les contacts, manipuler des fichiers sur l'appareil, désinstaller n'importe quelle application, collecter des fichiers avec des extensions spécifiques, enregistrer de l'audio et prendre des photos. La gamme déjà impressionnante de capacités a maintenant été étendue pour inclure plusieurs nouvelles fonctions puissantes. Android / Spy23C.A peut passer des appels tout en affichant un écran noir sur l'appareil pour masquer son activité. Pour masquer davantage sa présence, la menace est capable de rejeter diverses notifications d'applications de sécurité en fonction du fabricant spécifique de l'appareil mobile, ainsi que de rejeter ses PROPRES notifications, une fonctionnalité plutôt unique qui, selon les experts en cybersécurité, pourrait être utilisée pour masquer messages d'erreur spécifiques qui pourraient apparaître pendant les opérations du cheval de Troie.

Android / Spy23C.A est distribué via un faux magasin d'applications

Comme mentionné précédemment, la stratégie principale d'Android / Spy23C.A est de se faire passer pour des applications de messagerie légitimes. Pour les fournir aux utilisateurs ciblés, le groupe de pirates informatiques a créé un faux magasin d'applications Android et a caché les applications menaçantes parmi plusieurs applications légitimes. Les applications particulières porteuses de la menace étaient AndroidUpdate, Threema et Telegram. Pour limiter les chances de tout téléchargement accidentel par des cibles involontaires, les criminels ont mis une mesure de vérification - les utilisateurs sont tenus de saisir un code de coupon à six chiffres afin de lancer le téléchargement des applications menaçantes.

Le faux magasin d'applications n'est pas la seule méthode de distribution utilisée par APT-C-23, comme en témoigne le fait que leur outil de Troie a été observé comme étant l'application WeMessage, qui ne fait pas partie des applications disponibles sur le faux magasin. Dans une décision plutôt étrange, il semble que les pirates aient créé leurs propres graphiques et interfaces utilisateur personnalisés, car l'application d'imposteur ne partage aucune similitude avec l'application légitime WeMessage en dehors du nom.

Tendance

Le plus regardé

Chargement...