Северокорейские хакеры прибыли на детскую площадку. Они распространяют программу шпионской программы с этими приложениями | Vosveteit.sk

Аналитики безопасности угрозы обнаружили новый шпион Android, который они назвали КоспияПолем Это шпионское программное обеспечение поступает из группы хакеров из Северной Кореи под названием Scarcrft.

Малвер был активен с 2022 года, но хакеры недавно снова атаковали. Он распространяется через фальшивые приложения, которые выпускаются в качестве инструментов управления обновлениями файлов или программы безопасности (Например, это был файловый диспетчер -APP, менеджер по телефону, интеллектуальный администратор или Kacao -Security)Полем

Возьмите vosveteit.sk от Telegram и подпишитесь на сообщения

Приложения Scrucruft распространяются через игровой процесс или пожарный бригаду. Google уже удалил все известные приложения мошенничества из магазина, но аналитики безопасности предупреждают, что хакеры могут создавать новые.

Хакеры Scarcrruft активны с 2012 года и в основном участвуют в киберспане. В большинстве случаев они напали на Южную Корею, Но в последнее время они расширили свою деятельность в других странах мира.

Как идет атака?

Образцы поддельных приложений с аналитиками безопасности показали, что Приложения имеют базовый простой интерфейс. Этот интерфейс открывает внутренние настройки настроек, которые пользователь встроил в операционную систему смартфона. Например, если пользователь загрузил фальшивую программу, которая обещала управлять обновлениями, экран обновления в настройках системы открылся при запуске приложения.

Не упускайте из виду

Включите эту функцию Android прямо сейчас. Может защитить вас от мошенничества! По умолчанию он отключен

Zly Android — Источник: проект с открытым исходным кодом Android (CC B -2.5), Редактировать корректировки

Диспетчер файлов запустил встроенный файл файла на устройстве. Интересно, что у поддельного антивирусного приложения было свое собственное, Но все же очень простой, интерфейс, который не имел полезной функциональности. Однако приложение требовало несколько чувствительных разрешений.

После загрузки ложного приложения Cospy Malvé будет установлено подключение к хакерам сервера C2. Позже программное обеспечение Spy проверяет, что оно не работает в эмуляторе или среде песочницы. Это изолированная среда из Интернета и остальной части устройства. Таким образом, вредоносное ПО может быть увеличено и эксплуатировано, но не повредит какой -либо основной части устройства. Аналитики безопасности используют такие среды для изучения школьных программ.

Как мы упоминали, шпионская коспия Он проверяет, есть ли это в эмуляторе. Он также проверяет, является ли текущая дата для фиксированной даты активации. Дата активации служит гарантией того, что шпионаж не будет обнаружен преждевременно.

Позже вредоносное ПО отправляет два требования на сервер C2. Одним из требований отображается из вредоносных плагинов, в то время как другому требуется конфигурация для функций -Spy. После установки вредоносной программы Hospy хакеры могут получить ряд конфиденциальной информации. Улбломноеволе собирает SMS -сообщения и записи вызовов. В то же время он получает сайт смартфона, а также получает доступ к интеллектуальной памяти.

Вредоносная программа Kospy Он может записывать звук с помощью микрофона, а также использовать камеру, чтобы шпионить за окружающей средой пользователя. Кроме того, он также может создать скриншоты и записать экран или нажатие клавиши. Полученная информация отправляется зашифрована в атаки C2.

Также могут появиться новые приложения

Как мы уже упоминали, хакеры распространяют вредоносные приложения с вредоносной докладкой в течение нескольких приложений. Некоторые фальшивые приложения также прибыли в магазин Play, но хакеры также распространяют их через сторонний магазин Apkpure. Ни одно из зараженных приложений не доступно в игровом магазине.

Но аналитики безопасности объясняют, что хакеры mможет создать новые мошеннические приложения и распространять их одинаковоПолем В то же время, опрос выявил сходство с другими группами хакеров, такими как Kimsuka. Тем не менее, с точки зрения инфраструктуры, способа распределения и других факторов, аналитики безопасности умеренны, что эти атаки находятся за этими атаками хакеров Scrcrft.

Остерегайтесь нескольких мошенничества

Фишинговая кампания также появилась несколько дней назадЭто распространение вредоносных программ с помощью PDF -ссылок и ложными тестами Capcha. Cyberzlins использовали SEO и другие уловки для первых в поисковой системе. Позже они использовали фальшивые изображения Captcha, чтобы познакомить пользователей с фишинговыми сайтами. На фишинговых страницах киберцели хотели украсть пользователей, чтобы украсть данные о платежах или другие конфиденциальные данные.

Малвер -Агент Тесла получил более опасное зарядное устройство — Источник: Pixabay (Mtzd, Satheeshsankaran, Geralt), Модификация: Vosveteit.sk

Как следователи замечают файлы PDF, используемые в этом kYbernetic Attack содержит поддельные тесты Capcha, которые предназначены для запуска команд PowerShell на устройствах пользователя. С этими командами пользователь запустит установку Lumma Seater на своем устройстве. Вы можете прочитать больше о кампании в этой статье.