Facebook našel nový Android malware používaný APT hackery

Mateřská společnost Facebooku Meta oznámila, že podnikla kroky proti dvěma špionážním operacím v jižní Asii, které využívaly její platformy sociálních médií k distribuci malwaru potenciálním cílům. Začátkem tohoto roku byly APT36 i Bitter APT vidět, jak organizují kyberšpionážní kampaně, a proto Facebook oznámil jejich nedávné aktivity.

Bitter APT, kyberšpionážní skupina využívá platformy sociálních médií, jako je Facebook, k získávání informací (OSINT) nebo ke spřátelení se s oběťmi pomocí falešných účtů a poté je přenese na externí platformy, kde si malware nainstalují. Meta uvedla, že Bitter použil různé škodlivé taktiky, aby zacílil na lidi online pomocí sociálního inženýrství a infikoval jejich zařízení malwarem. Útoky zahrnovaly aktéra hrozby, který na platformě vytvářel fiktivní persony, vydávající se za atraktivní mladé ženy ve snaze vybudovat si důvěru u cílů a nalákat je ke klikání na falešné odkazy, které nasazovaly malware.

Aplikace pro Android objevená Facebookem je nový malware, který Meta nazvala „Dracarys“, který zneužívá služby pro usnadnění k tomu, aby si bez souhlasu uživatele uděloval zvýšená oprávnění. Odtud by se injektoval do různých aplikací pro Android, aby fungoval jako spyware, kradl textové zprávy, instaloval aplikace a nahrával zvuk.

„Bitter vložil Dracarys do trojanizovaných (neoficiálních) verzí YouTube, Signal, Telegram, WhatsApp a vlastních chatovacích aplikací schopných přistupovat k protokolům hovorů, kontaktům, souborům, textovým zprávám, geolokaci, informacím o zařízení, pořizování fotografií, aktivaci mikrofonu a instalace aplikací,“ vysvětlila zpráva Meta.

APT36 je mnohem méně sofistikovaným aktérem hrozeb, ale stále je to silná hrozba, která se opírá o složité taktiky sociálního inženýrství a snadno dostupný malware. Nejnovější aktivita, kterou Meta objevila, se zaměřila na lidi v Afghánistánu, Indii, Pákistánu, Spojených arabských emirátech a Saúdské Arábii a zaměřila se konkrétně na vojenské představitele a aktivisty za lidská práva.

Obě části malwaru přicházejí s funkcemi pro shromažďování protokolů hovorů, kontaktů, souborů, textových zpráv, geolokace, informací o zařízení a fotografií a také s aktivací mikrofonu zařízení, což z nich činí účinné nástroje pro sledování.

Podle výzkumníků je tento aktér ohrožení dobrým příkladem globálního trendu, kdy se skupiny s nízkou sofistikovaností rozhodnou spoléhat na otevřeně dostupné škodlivé nástroje, než investovat do vývoje nebo nákupu sofistikovaných útočných schopností.

https://thehackernews.com/2022/08/meta-cracks-down-on-cyber-espionage.html

https://www.thetechoutlook.com/news/technology/security/facebook-discovers-a-new-android-malware-linked-to-apt-hacking-groups

https://www.bleepingcomputer.com/news/security/facebook-finds-new-android-malware-used-by-apt-hackers/