Создать учетную запись? Забыли пароль?
Важные новости портала: Желаем приятного времяпровождения на нашем ресурсе. С уважением, администрация!
cloud
12
Октяб.
Обнаружена связь между ИБ-компанией и шпионским ПО для Android
Размещено в разделе: Главная; Год публикации: 2021


Специалисты международной неправительственной правозащитной организации Amnesty International обнаружили связь между ИБ-компанией и шпионским ПО для Android-устройств, использующимся для слежки за активистами в Того и некоторых регионах Азии.

Эксперты отследили шпионское ПО до индийской компании Innefu Labs после того, как обнаружилось, что ее IP-адрес неоднократно использовался для доставки вредоносной нагрузки на системы жертв. Однако самим разработчиком шпионского ПО может быть Donot Team (APT-C-35) - индийская хакерская группировка, атакующая правительства стран Юго-Восточной Азии как минимум с 2018 года.

По мнению специалистов, вполне вероятно, что Innefu Labs и не догадывается, как ее клиенты или другие третьи лица используют ее инструменты. Тем не менее, теперь, когда стали известны все технические подробности, внешний аудит поможет выявить все.

В письме Amnesty International компания отрицает какую-либо связь с Donot Team и хакерскими атаками на активистов.

Атака начинается с получения жертвой сообщения в WhatsApp с предложением установить предположительно безопасное приложение для общения ChatLite. Если жертва не попалась на удочку, атакующие отправляют ей с почтового ящика Gmail электронное письмо с вредоносным файлом MS Word, который доставляет на систему шпионское ПО путем эксплуатации старой уязвимости.

ChatLite представляет собой шпионское ПО в виде кастомного приложения для Android и позволяет злоумышленникам похищать хранящиеся на устройстве чувствительные данные и устанавливать дополнительные вредоносные инструменты.

Вариант вредоноса, распространяющегося через документ Word, способен записывать нажатия клавиш на клавиатуре, регулярно делать скриншоты, похищать файлы из локальных и внешних хранилищ и загружать дополнительные вредоносные модули.

Проанализировав образец шпионского ПО для Android, специалисты обнаружили несколько схожих черт с Kashmir_Voice_v4.8.apk и SafeShareV67.apk - вредоносными инструментами, связанными с прошлыми операциями Donot Team.

Эта opsec-ошибка позволила экспертам выявить "тестовый" сервер в США, на котором злоумышленники хранили похищенные с зараженных Android-устройств скриншоты и записи нажатий клавиш. Именно здесь специалисты впервые обнаружили реальный IP-адрес Innefu Labs, скрывавшийся с помощью VPN.

Данный случай является первым, когда Donot Team атаковала жертв в Африке. Это наводит на мысль, что группировка стала предлагать свои услуги хакинга иностранным правительствам.
Показать все комментарии | Поблагодарить автора
Опубликовал: Fellow
Добавление комментария:

Посетители, находящиеся в группе Гости, не могут оставлять комментарии. Авторизируйтесь!

На данный момент на сайте находятся:
Пользователей: 0
Поисковых ботов: 2
Yandex BotGoogle Bot
Гостей: 21
Всех посетителей: 23

* Пользователь покидает список после 5 минут отсутствия на сайте.
Предупреждение! Информация, расположенная на данном сервере, предназначена исключительно для частного использования в образовательных целях и не может быть загружена/перенесена на другой компьютер. Ни владелец сайта, ни хостинг-провайдер, ни любые другие физические или юридические лица не могут нести никакой отвественности за любое использование материалов данного сайта. Входя на сайт, Вы, как пользователь, тем самым подтверждаете полное и безоговорочное согласие со всеми условиями использования. Авторы проекта относятся особо негативно к нелегальному использованию информации, полученной на сайте.