Μια ισχυρή μορφή Android malware επέστρεψε και εξαπλώνεται μέσω SMS phishing επιθέσεων. Το malware μπορεί να κλέψει τραπεζικά στοιχεία, προσωπικές πληροφορίες, ιδιωτικές επικοινωνίες και πολλά άλλα. Ονομάζεται FakeSpy και είναι ενεργό από το 2017. Αρχικά στόχευε χρήστες στην Ιαπωνία και τη Νότια Κορέα, αλλά τώρα στοχεύει χρήστες Android σε όλο τον κόσμο. Ανάλογα με το στόχο, γίνονται οι απαραίτητες αλλαγές ώστε να εξαπατώνται χρήστες σε όλη την Ασία, την Ευρώπη και τη Βόρεια Αμερική.
Η τελευταία εκστρατεία του FakeSpy αναλύθηκε από ερευνητές της Cybereason, οι οποίοι λένε ότι οι επιθέσεις συνδέονται με τη “Roaming Mantis”, μια κινεζική hacking ομάδα, που έχει πραγματοποιήσει παρόμοιες εκστρατείες.
Το FakeSpy βρίσκεται συνεχώς υπό ανάπτυξη και “εξελίσσεται γρήγορα”. Νέα έκδοση του κακόβουλου λογισμικού κυκλοφορεί κάθε εβδομάδα, με νέες δυνατότητες και τεχνικές αποφυγής.
Το Android malware λειτουργεί ως information stealer. Κλέβει SMS, οικονομικές πληροφορίες, στοιχεία εφαρμογών και λογαριασμών, ενώ επίσης διαβάζει τις λίστες επαφών και πολλά άλλα.
Η πρόσφατη εκστρατεία στοχεύει χρήστες σε Κίνα, Ταϊβάν, Γαλλία, Ελβετία, Γερμανία, Ηνωμένο Βασίλειο, ΗΠΑ και άλλες χώρες. Το Android malware προσπαθεί να εγκατασταθεί στη συσκευή του θύματος μέσω ενός phishing SMS, που ισχυρίζεται ότι σχετίζεται με ένα χαμένο πακέτο από μια τοπική ταχυδρομική υπηρεσία ή υπηρεσία παράδοσης.
Στο phishing SMS υπάρχει ένα link που κατευθύνει τους χρήστες σε ένα ψεύτικο website. Εκεί τους δίνεται η οδηγία να κάνουν λήψη μιας εφαρμογής, που μοιάζει να είναι της τοπικής ταχυδρομικής υπηρεσίας. Για παράδειγμα, οι χρήστες του Ηνωμένου Βασιλείου καλούνται να κατεβάσουν μια ειδικά σχεδιασμένη ψεύτικη έκδοση της εφαρμογής Royal Mail. Στην Αμερική κατεβάζουν το US Postal Service app, στη Γερμανία τη Deutsche Post, στη Γαλλία την La Poste, στην Ιαπωνία τη Japan Post, στην Ελβετία τη Swiss Post και στην Ταϊβάν την Chughwa Post. Ουσιαστικά, με τη λήψη αυτών των εφαρμογών, οι χρήστες κατεβάζουν το Android malware.
Οι ψεύτικες εφαρμογές μοιάζουν πολύ με τις πραγματικές. Μετά τη λήψη της εφαρμογής – η οποία απαιτεί από τον χρήστη να επιτρέψει την εγκατάσταση από άγνωστες πηγές – η ψεύτικη σελίδα θα ανακατευθύνει τους χρήστες στο νόμιμο website για να μην υποψιαστούν τίποτα.
Το Android malware ζητά, επίσης, πολλές άδειες, κάτι που δεν φαίνεται πολύ περίεργο γιατί είναι σύνηθες και σε νόμιμες εφαρμογές.
Μόλις εγκατασταθεί, το FakeSpy μπορεί να παρακολουθεί τη συσκευή για να κλέψει διάφορες πληροφορίες: όνομα, αριθμό τηλεφώνου, επαφές, τραπεζικά στοιχεία, cryptocurrency στοιχεία. Επίσης, παρακολουθεί μηνύματα και εφαρμογές.
Το Android malware εκμεταλλεύεται τη μόλυνση της συσκευής για να εξαπλωθεί, στέλνοντας το ίδιο phishing SMS σε όλες τις επαφές του θύματος.
Οι ερευνητές υποστηρίζουν ότι οι επιθέσεις δεν είναι στοχευμένες. Οι hackers προσπαθούν να στοχεύσουν όσο το δυνατόν περισσότερους χρήστες για να κλέψουν προσωπικά και κυρίως τραπεζικά στοιχεία.
Το FakeSpy δραστηριοποιείται τα τελευταία τρία χρόνια και συνεχίζει να αποτελεί απειλή για τους χρήστες Android καθώς εξελίσσεται και αλλάζει.
Ωστόσο, οι χρήστες μπορούν να αποφύγουν να πέσουν θύματα του Android malware, αν είναι εξαιρετικά προσεκτικοί με SMS μηνύματα που δεν περιμένουν, ειδικά αν αυτά ισχυρίζονται ότι προέρχονται από οργανισμούς και ζητούν από το χρήστη να ανοίξει συνδέσμους και αρχεία. Τέλος, ένα πρόγραμμα προστασίας για κινητά, μπορεί επίσης να βοηθήσει στον εντοπισμό της απειλής.