Peneliti cybersecurity telah menemukan bahwa aktor ancaman sedang menyiapkan situs web menipu yang di -host di domain yang baru terdaftar untuk mengirimkan malware android yang diketahui bernama Spynote.
Situs web palsu ini menyamar sebagai Google Play Store menginstal halaman untuk aplikasi seperti browser web Chrome, yang menunjukkan upaya untuk menipu pengguna yang tidak curiga agar menginstal malware sebagai gantinya.
“Aktor ancaman menggunakan campuran situs pengiriman berbahasa Inggris dan Cina dan termasuk komentar berbahasa Cina dalam kode situs pengiriman dan malware itu sendiri,” kata tim Investigations (DTI) Domaintools (DTI) dalam sebuah laporan yang dibagikan kepada Hacker News.
Spynote (alias Spymax) adalah Trojan akses jarak jauh yang lama dikenal karena kemampuannya memanen data sensitif dari perangkat Android yang dikompromikan dengan menyalahgunakan layanan aksesibilitas. Pada Mei 2024, malware disebarkan melalui situs palsu lain yang menyamar sebagai solusi antivirus yang sah yang dikenal sebagai Avast.
Analisis selanjutnya oleh perusahaan keamanan seluler Zimperium telah menggali kesamaan antara spynote dan gigabud, meningkatkan kemungkinan bahwa aktor ancaman atau aktor yang sama berada di belakang dua keluarga malware. Gigabud dikaitkan dengan aktor ancaman berbahasa Cina dengan nama sandi Goldfactory.
Selama bertahun-tahun, Spynote juga telah melihat beberapa tingkat adopsi oleh kelompok peretasan yang disponsori negara, seperti Oilalpha dan aktor tidak dikenal lainnya.
Situs web klon yang diidentifikasi oleh DTI termasuk korsel gambar yang, ketika diklik, unduh file apk berbahaya ke perangkat pengguna. File paket bertindak sebagai dropper untuk menginstal muatan APK tertanam kedua melalui dialogInterface.onClickListener antarmuka yang memungkinkan untuk pelaksanaan malware spynote ketika item dalam kotak dialog diklik.
“Setelah instalasi, ia secara agresif meminta banyak izin mengganggu, mendapatkan kontrol yang luas atas perangkat yang dikompromikan,” kata DTI.
“Kontrol ini memungkinkan pencurian data sensitif seperti pesan SMS, kontak, log panggilan, informasi lokasi, dan file. Spynote juga menawarkan kemampuan akses jarak jauh yang signifikan, termasuk aktivasi kamera dan mikrofon, manipulasi panggilan, dan eksekusi perintah sewenang -wenang.”
Pengungkapan datang ketika Lookout mengungkapkan bahwa mereka mengamati lebih dari 4 juta serangan rekayasa sosial yang berfokus pada mobile pada tahun 2024, dengan 427.000 aplikasi jahat terdeteksi pada perangkat perusahaan dan 1.600.000 deteksi aplikasi yang rentan selama periode waktu.
“Selama lima tahun terakhir, pengguna iOS telah terpapar secara signifikan lebih banyak serangan phishing daripada pengguna Android,” kata Lookout. “2024 adalah tahun pertama di mana perangkat iOS diekspos lebih dari dua kali lipat dari perangkat Android.”
Lembaga Intel memperingatkan Badbazaar dan Moonshine
Temuan ini juga mengikuti penasihat bersama yang dikeluarkan oleh cybersecurity dan lembaga intelijen dari Australia, Kanada, Jerman, Selandia Baru, Inggris, dan Amerika Serikat tentang penargetan komunitas Uyghur, Taiwan, dan Tibet menggunakan keluarga malware seperti Badbazaar dan Moonshine.
Target kampanye termasuk organisasi non-pemerintah (LSM), jurnalis, bisnis, dan anggota masyarakat sipil yang mengadvokasi atau mewakili kelompok-kelompok ini. “Cara tanpa pandang bulu spyware ini disebarkan secara online juga berarti ada risiko bahwa infeksi dapat menyebar di luar korban yang dituju,” kata agensi tersebut.
 |
| Subset ikon aplikasi yang digunakan oleh sampel alat pengawasan nonsen pada Januari 2024 |
Baik Badbazaar dan Moonshine diklasifikasikan sebagai Trojan yang mampu mengumpulkan data sensitif dari perangkat Android dan iOS, termasuk lokasi, pesan, foto, dan file. Mereka biasanya didistribusikan melalui aplikasi yang dianggap sebagai pesan, utilitas, atau aplikasi keagamaan.
Badbazaar pertama kali didokumentasikan oleh Lookout pada November 2022, meskipun kampanye yang mendistribusikan malware dinilai telah berlangsung sejak 2018. Moonshine, di sisi lain, baru-baru ini digunakan oleh aktor ancaman yang dijuluki Bumi Minotaur untuk memfasilitasi operasi pengawasan jangka panjang yang ditujukan untuk Tibetans dan Uyghur.
Penggunaan Badbazaar telah terikat pada kelompok peretasan Cina yang dilacak sebagai APT15, yang juga dikenal sebagai kutu, nilon topan (sebelumnya nikel), playful taurus, royal apt, dan vixen panda.
“Sementara varian IOS dari Badbazaar memiliki kemampuan yang relatif terbatas versus rekan Android -nya, ia masih memiliki kemampuan untuk mengeluarkan data pribadi dari perangkat korban,” kata Lookout dalam sebuah laporan yang diterbitkan pada Januari 2024. “Bukti menunjukkan bahwa itu terutama ditargetkan pada komunitas Tibetan di dalam Cina.”
Menurut perusahaan cybersecurity, data yang dikumpulkan dari perangkat korban melalui minuman keras dieksfiltrasi ke infrastruktur yang dikendalikan oleh penyerang yang dapat diakses melalui apa yang disebut panel admin Scotch, yang menampilkan rincian perangkat yang dikompromikan dan tingkat akses ke masing-masing. Pada Januari 2024, 635 perangkat dicatat di tiga panel admin Scotch.
Dalam pengembangan terkait, pihak berwenang Swedia telah menangkap Dilshat Reshit, seorang penduduk Uyghur di Stockholm, atas dugaan memata -matai sesama anggota masyarakat di negara itu. Reshit telah menjabat sebagai juru bicara bahasa Cina Uyghur Congress (WUC) sejak 2004.
