Az APT-C-23 csoport főleg a Közel-Keleten aktív, de bele futhatunk más régiókban is, főleg ha Windows vagy Android rendszert használunk. Korábbi munkájuk gyümölcse az Android/SpyC23.A most ismét felbukkant, a spyware új verziója rengeteg fejlesztést tartalmaz, van lopakodó funkció, megújított C&C kommunikáció és a kémtevékenységek körét is kiszélesítették.
Az Android hamisított alkalmazásáruházában terjedő SpyC23.A legújabb verziója az ESET szakértői figyelmét is felkeltette. A kémprogram a felhasználókat megtévesztve olyan népszerű üzenetküldő alkalmazásoknak álcázza magát mint a Threema és a hazánkban is egyre terjedő Telegram. Egy kutató 2020 áprilisában egy ismeretlen Androidos kártevőről számolt be a Twitteren. Az ESET szakértői ezt követően kezdték tanulmányozni a rosszindulatú szoftvert, amiről kiderült, hogy valójában nem is annyira ismeretlen kémprogramról van szó, ez a SpyC23.A legfrissebb verziója. A Google Play-nek tűnő hamisított alkalmazásboltban találtak rá a SpyC23.A-ra, a népszerű üzenetküldő alkalmazások mellett még az AndroidUpdate-be is belekerült, így a gyanútlan felhasználók egyszerre töltötték le a kártékony szoftvert és az annak álcázására használt applikációt.
A telepítést követően egy sor bizalmas engedélyt kér a spyware, ezeket biztonsági funkcióknak álcázza. Az engedélyek megadás után a SpyC23.A nekilát a készülék feltérképezésének, többféle kémtevékenységet is végez. Az utasításokat egy távoli C&C vezérlőszervertől kapja, egy továbbfejlesztett, még nehezebben kiszűrhető csatornán keresztül. A SpyC23.A képes olvasni az üzeneteket, a hívásnaplót, a névjegyeket, a fájlokat és a hangot és hívást is tud rögzíteni, tehát elég széles a “portfóliója”. Mindezek mellett visszautasíthat olyan értesítéseket, amik az Android beépített biztonsági alkalmazásaitól származnak.
„A támadók megtévesztéssel vették rá az áldozatokat arra, hogy különféle bizalmas engedélyeket is megadjanak a rosszindulatú szoftvernek. Például az értesítések elolvasásához kért engedélyt üzenettitkosítási funkciónak álcázták. Azt tanácsoljuk az Android-felhasználóknak, hogy a kémprogramokkal szembeni biztonságuk megőrzése érdekében csak és kizárólag az eredeti, hivatalos Google Play Áruházból töltsenek le alkalmazásokat, alaposan ellenőrizzék az engedélykéréseket, és használjanak megbízható, naprakész mobilos biztonsági megoldást.” – mondta Lukáš Štefanko, az ESET kutatója.
A szakértők továbbra is hangsúlyozzák, hogy csakis megbízható forrásból származó alkalmazásokat töltsünk le, és mint a fenti példa is mutatja már arra is figyelni kell, hogy az eredeti Google Play áruházat használjuk. Érdemes beszerezni egy megbízható és hiteles védelmi szoftvert is minden platformon amit csak használunk.
