ESET сегодня выпустили отчет о новом вредоносном ПО для Android, которое использует APT-C-23 aka Two-tailed Scorpion (она же Desert Falcons, она же Arid Viper). Словаки назвали его SpyC23.A.
Вредонос имеет расширенный кибершпионский функционал и умеет читать мессенджеры, записывать звонки и изображение экрана, выполнять вызов при наложении черного экрана (чтобы скрыть сам факт вызова), а также обходить антивирусную защиту. Сейчас такие вредоносы модно называть MRAT - Mobile Remote Access Trojan (мы между собой решили называть их мразиш, ну вы в курсе).
Среди способов его распространения - через поддельные магазины приложений для Android. Совместно с MalwareHunterTeam словаки нашли один из таких магазинов - DigitalApps, который содержал как вредоносные, так и легальные Android-приложения.
SpyC23.A был спрятан в установщиках AndroidUpdate, Threema и Telegram. Вредонос устанавливался вместе с полнофункциональными приложениями. Интересно, что загрузка зараженных приложений была возможна только при предоставлении шестизначного кода купона - по всей видимости, для того, чтобы отфильтровать цели для взлома.
Судя по трем операторам сотовой связи (Jawwal, Wataniya, Estisalat), служебные номера которых SpyC23.A использует для получения данных о балансе SIM-карты зараженного устройства, вредонос ориентирован, в первую очередь, на пользователей из стран Ближнего Востока.
Еще из интересного - динамически изменяющиеся управляющие центры SpyC23.A маскируются под сайты, находящиеся на техническом обслуживании и все используют одно и то же изображение-заглушку.
Дадим немного информации о APT-C-23. ESET пишет, что впервые группа была выявлена китайскими исследователями в 2017 году, но это не так. AFAWK, первыми про эту палeстинскую группу, работающую предположительно на ХАМАС, написали в 2015 году исследователи из TrendMicro, когда расследовали кибероперацию Arid Viper против пяти израильских и одной кувейтской организаций.
Основная сфера заинтересованности APT-C-23, как мы уже говорили, это страны Ближнего Востока, особенно Израиль. Например, в минувшем феврале хакеры распространяли вредоносы под видом мобильного чата среди израильских солдат, для чего использовали шесть поддельных женских аккаунтов в соцсетях, среди которых - Сара Орлова и Марина Якобова. Мы писали про это здесь и, кстати, тогда тоже ошиблись, сказав, что APT-C-23 активна с лета 2018 года.
И еще один факт про Two-tailed Scorpion - в одном из источников утверждается, что хакерская группа проводила атаки, направленные на Россию. Мы с ходу подробной информации не нашли, но постараемся покопаться и если выудим что-нибудь стоящее - обязательно поделимся с подписчиками.
#APT #APTC23 #DesertFalcons
Вредонос имеет расширенный кибершпионский функционал и умеет читать мессенджеры, записывать звонки и изображение экрана, выполнять вызов при наложении черного экрана (чтобы скрыть сам факт вызова), а также обходить антивирусную защиту. Сейчас такие вредоносы модно называть MRAT - Mobile Remote Access Trojan (мы между собой решили называть их мразиш, ну вы в курсе).
Среди способов его распространения - через поддельные магазины приложений для Android. Совместно с MalwareHunterTeam словаки нашли один из таких магазинов - DigitalApps, который содержал как вредоносные, так и легальные Android-приложения.
SpyC23.A был спрятан в установщиках AndroidUpdate, Threema и Telegram. Вредонос устанавливался вместе с полнофункциональными приложениями. Интересно, что загрузка зараженных приложений была возможна только при предоставлении шестизначного кода купона - по всей видимости, для того, чтобы отфильтровать цели для взлома.
Судя по трем операторам сотовой связи (Jawwal, Wataniya, Estisalat), служебные номера которых SpyC23.A использует для получения данных о балансе SIM-карты зараженного устройства, вредонос ориентирован, в первую очередь, на пользователей из стран Ближнего Востока.
Еще из интересного - динамически изменяющиеся управляющие центры SpyC23.A маскируются под сайты, находящиеся на техническом обслуживании и все используют одно и то же изображение-заглушку.
Дадим немного информации о APT-C-23. ESET пишет, что впервые группа была выявлена китайскими исследователями в 2017 году, но это не так. AFAWK, первыми про эту палeстинскую группу, работающую предположительно на ХАМАС, написали в 2015 году исследователи из TrendMicro, когда расследовали кибероперацию Arid Viper против пяти израильских и одной кувейтской организаций.
Основная сфера заинтересованности APT-C-23, как мы уже говорили, это страны Ближнего Востока, особенно Израиль. Например, в минувшем феврале хакеры распространяли вредоносы под видом мобильного чата среди израильских солдат, для чего использовали шесть поддельных женских аккаунтов в соцсетях, среди которых - Сара Орлова и Марина Якобова. Мы писали про это здесь и, кстати, тогда тоже ошиблись, сказав, что APT-C-23 активна с лета 2018 года.
И еще один факт про Two-tailed Scorpion - в одном из источников утверждается, что хакерская группа проводила атаки, направленные на Россию. Мы с ходу подробной информации не нашли, но постараемся покопаться и если выудим что-нибудь стоящее - обязательно поделимся с подписчиками.
#APT #APTC23 #DesertFalcons
WeLiveSecurity
APT‑C‑23 group evolves its Android spyware
ESET research uncovers a new version of Android spyware that the APT-C-23 aka Two-tailed Scorpion threat group has used against targets in the Middle East.
Группа Unit42 инфосек вендора Palo Alto Networks опубликовала отчет о новом штамме вредоносов, который получил название PyMICROPSIA.
Авторами вредоносного семейства MICROPSIA считаются APT AridViper aka Deserts Falcons aka Two-tailed Scorpion, палестинская хакерская группа, за которой, предположительно, стоит ХАМАС.
PyMICROPSIA написан на Python и представляет собой полноценный RAT с функциями сбора и эксфильтрации информации, кейлоггинга, записи аудио и скриншотов и пр. Анализ кода свидетельствует, что вредонос находится на стадии активной разработки.
Выявленные образец PyMICROPSIA предназначен для Windows, однако в его коде содержатся вставки, которые свидетельствуют об интересе разработчиков вируса к Linux и macOS. Таким образом, Deserts Falcons расширяют охват своего вредоноса.
Эти палестинские хакеры вообще очень активны, вопреки тому, что можно было бы от них ожидать. В сентябре, например, мы уже писали про их мобильный RAT SpyC23.A, который предназначался для Android-устройств. А весной они ловили израильских солдат в соцсетях, применяя типичную "медовую ловушку" в виде фейковых профилей девушек. Вполне возможно, что им помогают иранские коллеги.
#APT #DesertFalcons
Авторами вредоносного семейства MICROPSIA считаются APT AridViper aka Deserts Falcons aka Two-tailed Scorpion, палестинская хакерская группа, за которой, предположительно, стоит ХАМАС.
PyMICROPSIA написан на Python и представляет собой полноценный RAT с функциями сбора и эксфильтрации информации, кейлоггинга, записи аудио и скриншотов и пр. Анализ кода свидетельствует, что вредонос находится на стадии активной разработки.
Выявленные образец PyMICROPSIA предназначен для Windows, однако в его коде содержатся вставки, которые свидетельствуют об интересе разработчиков вируса к Linux и macOS. Таким образом, Deserts Falcons расширяют охват своего вредоноса.
Эти палестинские хакеры вообще очень активны, вопреки тому, что можно было бы от них ожидать. В сентябре, например, мы уже писали про их мобильный RAT SpyC23.A, который предназначался для Android-устройств. А весной они ловили израильских солдат в соцсетях, применяя типичную "медовую ловушку" в виде фейковых профилей девушек. Вполне возможно, что им помогают иранские коллеги.
#APT #DesertFalcons
Unit 42
PyMICROPSIA: New Information-Stealing Trojan from AridViper
We've identified a new information-stealing Trojan we call PyMICROPSIA, related to the previously identified MICROPSIA malware family.