Οι ειδικοί στον τομέα της κυβερνοασφάλειας προειδοποιούν για νέα κύματα επιθέσεων που στοχεύουν χρήστες κινητών συσκευών μέσω ψεύτικων εφαρμογών και ιστοσελίδων, χρησιμοποιώντας κακόβουλα λογισμικά όπως τα SpyNote, BadBazaar και MOONSHINE.
Το SpyNote διανέμεται μέσω ψεύτικων σελίδων της Google Play
Το SpyNote (γνωστό και ως SpyMax) είναι ένα λογισμικό απομακρυσμένης πρόσβασης (RAT) που στοχεύει συσκευές Android και έχει τη δυνατότητα να υποκλέπτει ευαίσθητα δεδομένα, όπως SMS, επαφές, κλήσεις, τοποθεσία, αρχεία, αλλά και να ενεργοποιεί κάμερα και μικρόφωνο.
Οι επιτιθέμενοι δημιούργησαν παραπλανητικές ιστοσελίδες που εμφανίζονται σαν σελίδες εγκατάστασης εφαρμογών της Google Play, όπως του προγράμματος περιήγησης Chrome. Όταν ο χρήστης κάνει κλικ σε εικόνες τύπου carousel, εγκαθίσταται κακόβουλο APK αρχείο, που με τη βοήθεια της μεθόδου DialogInterface.OnClickListener ενεργοποιεί τη μόλυνση της συσκευής.
Σύμφωνα με την ομάδα DomainTools Investigations (DTI), ο κακόβουλος κώδικας περιέχει σχόλια στα κινεζικά, ενώ τα delivery sites εμφανίζουν μείγμα αγγλικής και κινεζικής γλώσσας.
Κακόβουλη δραστηριότητα και σε επίπεδο κρατικών φορέων
Η χρήση του SpyNote έχει παρατηρηθεί και από κρατικά υποστηριζόμενες ομάδες, όπως η OilAlpha, με στόχο κατασκοπεία και επιτήρηση. Παράλληλα, σύμφωνα με ανάλυση της εταιρείας Zimperium, υπάρχουν ομοιότητες ανάμεσα στο SpyNote και το Gigabud, κάτι που ενισχύει την υπόθεση ότι προέρχονται από τον ίδιο δημιουργό ή ομάδα – πιθανώς τον Κινεζόφωνο οργανισμό GoldFactory.
BadBazaar και MOONSHINE: Στοχευμένες επιθέσεις κατά ευάλωτων κοινοτήτων
Σε κοινή προειδοποίηση, κυβερνοασφαλιστικές και πληροφοριακές υπηρεσίες από Αυστραλία, Καναδά, Γερμανία, Νέα Ζηλανδία, Ηνωμένο Βασίλειο και ΗΠΑ αποκάλυψαν στοχευμένες εκστρατείες κατασκοπείας με στόχο τις ουιγούρικες, ταϊβανέζικες και θιβετιανές κοινότητες.
Τα BadBazaar και MOONSHINE λειτουργούν ως δούρειοι ίπποι (trojans), συλλέγοντας μηνύματα, τοποθεσίες, φωτογραφίες και αρχεία από συσκευές Android και iOS. Οι εφαρμογές διανέμονται υπό τη μορφή μηνυμάτων, χρηστικών ή ακόμα και θρησκευτικών εφαρμογών.
Οι στόχοι και οι συνέπειες των επιθέσεων
Σύμφωνα με τις υπηρεσίες, οι στόχοι περιλαμβάνουν ΜΚΟ, δημοσιογράφους, επιχειρήσεις και μέλη της κοινωνίας των πολιτών. Οι επιθέσεις γίνονται χωρίς διάκριση, κάτι που αυξάνει τον κίνδυνο μετάδοσης και σε μη στοχευμένους χρήστες.
Το BadBazaar συνδέεται με την κινεζική ομάδα APT15 (γνωστή και ως Flea, Royal APT, Nickel, κ.ά.). Αν και η έκδοση για iOS έχει περιορισμένες δυνατότητες σε σχέση με το Android, εξακολουθεί να εξάγει προσωπικά δεδομένα από τη συσκευή του θύματος.
Το MOONSHINE, το οποίο χρησιμοποιήθηκε από την ομάδα Earth Minotaur, στοχεύει κυρίως Θιβετιανούς και Ουιγούρους για μακροχρόνια παρακολούθηση. Οι πληροφορίες που συλλέγονται αποστέλλονται σε υποδομή ελεγχόμενη από τους επιτιθέμενους, με διαχειριστικό πάνελ SCOTCH ADMIN να προσφέρει στους χάκερς πληροφορίες για κάθε μολυσμένη συσκευή.
Έκρηξη στις επιθέσεις μέσω κινητών
Η εταιρεία Lookout ανέφερε πάνω από 4 εκατομμύρια επιθέσεις κοινωνικής μηχανικής με στόχο κινητές συσκευές το 2024, καθώς και 427.000 κακόβουλες εφαρμογές σε εταιρικές συσκευές.
Είναι χαρακτηριστικό ότι το 2024 ήταν η πρώτη χρονιά που οι συσκευές iOS εκτέθηκαν σε phishing επιθέσεις δύο φορές περισσότερο από τις Android συσκευές.
Σε μια παράλληλη εξέλιξη, οι αρχές της Σουηδίας συνέλαβαν τον Dilshat Reshit, ουιγούρο κάτοικο της Στοκχόλμης, με την κατηγορία της κατασκοπείας σε βάρος μελών της κοινότητάς του. Ο Reshit ήταν εκπρόσωπος τύπου του Παγκόσμιου Ουιγούρικου Κογκρέσου (WUC) από το 2004, λειτουργώντας ως γλωσσικός σύνδεσμος με την Κίνα.
VIA: FoxReport.gr
