Atak ukierunkowany wykorzystujący szkodliwy program dla Androida

Eksperci z Kaspersky Lab wykryli nowy atak ukierunkowany na ujgurskich aktywistów, który – po raz pierwszy – bazuje na szkodliwym programie stworzonym z myślą o urządzeniach mobilnych działających pod kontrolą Androida. Atak został zaprojektowany i jest przeprowadzany podobnie do innych działań skierowanych na ujgurskich i tybetańskich aktywistów, jednak zamiast polegać na zmodyfikowanych plikach DOC, XLS i PDF dla systemów Windows lub OS X, bierze na celownik urządzenia mobilne.

Użyty w nowym ataku szkodliwy program dla Androida kradnie informacje poufne z zainfekowanych smartfonów, łącznie z książką adresową i historią połączeń oraz wiadomości, po czym wysyła je do serwera kontrolowanego przez cyberprzestępców. Atak można uznać za pierwszy w swoim rodzaju – wcześniej nie napotkano na działalność cyberprzestępczą wykorzystującą w pełni funkcjonalny szkodliwy program dla Androida, który ma za zadanie infekować konkretne ofiary.

Atak miał miejsce w drugiej połowie marca 2013 r. i rozpoczął się od zhakowania konta e-mail należącego do tybetańskiego aktywisty wysokiego szczebla. Atakujący wykorzystali skradzione konto do wysłania spreparowanej wiadomości e-mail skierowanej do mongolskich, chińskich, tybetańskich oraz ujgurskich aktywistów politycznych.

Sfałszowane e-maile zawierały plik APK ze szkodliwym programem dla urządzeń z Androidem. Przeprowadzona przez ekspertów z Kaspersky Lab analiza ujawniła, że został on najprawdopodobniej stworzony przez chińskojęzycznych cyberprzestępców. Świadczą o tym, między innymi, komentarze w kodzie oraz specyficzne cechy serwera sterującego szkodliwym programem.

Wykorzystany w ataku trojan zainstalowany na smartfonie z Androidem; trojan udaje aplikację o nazwie „Conference”.

„Dotychczas nie zetknęliśmy się z atakiem ukierunkowanym wykorzystującym urządzenia mobilne, chociaż obserwowaliśmy sygnały świadczące o tym, że cyberprzestępcy od pewnego czasu eksperymentowali na tym polu” – powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT), Kaspersky Lab. „Ten konkretny atak wykorzystuje w pełni funkcjonalnego trojana, który kradnie informacje poufne od ściśle zdefiniowanych ofiar. Tym razem cyberprzestępcy użyli socjotechniki, by nakłonić użytkowników do zainstalowania szkodnika. Sądzimy jednak, że w przyszłości podobne ataki mogą się odbywać z wykorzystaniem luk w oprogramowaniu mobilnym lub połączenia różnych technik”.

Rozwiązania Kaspersky Lab przeznaczone dla urządzeń z Androidem – Kaspersky Mobile Security oraz Kaspersky Tablet Security – skutecznie blokują mobilny szkodliwy program wykorzystywany w omawianym ataku – jest on wykrywany jako Backdoor.AndroidOS.Chuli.a.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

 



Learn more about our offer

If you sell security solutions, are a distributor, authorized partner or developer and would like to share your portfolio with a group of potential customers, advertise an event, software, hardware or other services on AVLab - simply write to us. Or maybe you had to deal with ransomware? We can also help you decrypt your files.
Read more

We use Google Cloud Translation and Gengo API’s to translate articles with exception of our comparative tests.