Команда CYFIRMA недавно обнаружила современное вредоносное ПО для Android, нацеленное на жителей региона Южной Азии. Подозрительная вредоносная программа для Android представляет собой фиктивное чат-приложение. Первоначальный технический анализ показал, что за атакой стоит APT Bahamut. В ходе дальнейшего технического анализа в подозрительном приложении, принадлежащем APT Bahamut, были обнаружены следы тактики, используемой DoNot APT.
Приобретенное вредоносное ПО было специально использовано для атак на жителей Южной Азии. По механизму работы эта вредоносная программа схожа с ранее обнаруженной (распространялась через Google Play Store известной APT-группой "DoNot"), однако она имеет больше прав доступа и, соответственно, представляет более высокий уровень угрозы. Предполагаемая вредоносная программа для Android, известная под названием "CoverIm", доставлялась жертвам через WhatsApp и была замаскирована под фиктивное приложение для чатов под названием "SafeChat". Пользовательский интерфейс этого приложения успешно вводит пользователей в заблуждение относительно его подлинности, позволяя агенту угрозы извлекать всю необходимую информацию.
Прежде чем жертва осознает, что приложение является фиктивным, вредоносная программа ловко использует ничего не подозревающие библиотеки Android для извлечения и передачи данных на командно-контрольный сервер. Наш подробный технический анализ даст исчерпывающее представление об этой вредоносной программе для Android и прольет свет на изощренные методы, используемые угрозой для эксплуатации библиотек Android с целью извлечения данных с мобильных устройств жертв.
Indicators of Compromise
URLs
- https://laborer-posted.nl:2053
SHA256
- 8a35d0b20b6f057fe42e606a124cb84d78fa95900a16b056269f1cc613853989
