Новая шпионская кампания с использованием вредоносного ПО PhoneSpy на сегодняшний день заразила тысячи устройств-жертв.

В среду Zimperium zLabs опубликовал новый отчет . Согласно отчету PhoneSpy — шпионское ПО, разработанное для проникновения в телефоны, работающее на ОС Android от Google.

На сегодняшний день обнаружено 23 вредоносных приложения, содержащих шпионское ПО, но ни один из образцов не был обнаружен в официальном магазине Google Play, что говорит о том, что PhoneSpy распространяется через сторонние платформы.

Последняя активность PhoneSpy, похоже, ориентирована на Южную Корею, где вредоносное ПО объединено в, казалось бы, безвредные мобильные приложения, включая обмен сообщениями, инструкции по йоге, утилиты для сбора фотографий и просмотра, а также программное обеспечение для потоковой передачи ТВ / видео.

zLabs подозревает, что первоначальный вектор заражения является обычным: использование фишинговых ссылок на веб-сайты или каналы социальных сетей.

Как только жертва устанавливает и запускает APK-файл приложения, развертывается PhoneSpy. PhoneSpy нацелен на говорящих по-корейски и будет запускать фишинговую страницу, выдавая себя за популярную службу, такую ​​как приложение для обмена сообщениями Kakao Talk, чтобы запросить разрешения и украсть учетные данные.

Когда вы прямо сейчас думаете о шпионском ПО, возможно, вам сразу приходит в голову Pegasus — незаметная форма вредоносного ПО, которая использовалась для слежки за известными юристами, активистами, государственными деятелями и журналистами.

Хотя PhoneSpy кажется более заурядным, возможности вредоносного ПО тоже нельзя сбрасывать со счетов. Вредоносная программа описывается как «продвинутый» троян удаленного доступа (RAT), способный незаметно вести наблюдение за жертвой и отправлять данные на командный и управляющий (C2) сервер.

Функциональность PhoneSpy включает в себя мониторинг местоположения жертвы через GPS; запись звука, изображений и видео в реальном времени с помощью захвата мобильных микрофонов, а также передней и задней камер; перехват и кража SMS-сообщений, переадресация вызовов, кража журнала вызовов и списка контактов, отправка сообщений от имени оператора вредоносной программы и извлечение информации об устройстве.

Кроме того, PhoneSpy был разработан с функциями обфускации и сокрытия и будет скрывать свой значок, чтобы оставаться незамеченным — обычная тактика, использующая ПО для шпионажа и сталкинга. Вредоносная программа также может пытаться удалить пользовательские приложения, в том числе программное обеспечение для обеспечения безопасности мобильных устройств.

zLabs считает, что кампания использовалась для сбора «значительного количества личной и корпоративной информации, включая личные сообщения и фотографии «.

Кампания все еще продолжается. Об этом сообщили власти США и Кореи.

«Жертвы передавали свою личную информацию злоумышленникам без каких-либо указаний на то, что что-то не так», — говорят исследователи. «Несмотря на то, что тысячи южнокорейских жертв стали жертвами шпионского ПО, неясно, связаны ли они друг с другом. С возможностью загружать списки контактов и отправлять SMS-сообщения от имени жертвы, высока вероятность того, что злоумышленники обратят свое внимание на круг родных и знакомых текущих жертв с помощью фишинговых ссылок «.