Na používateľov smartfónov s operačným systémom Android aktuálne cielia špionážne kampane. Útočníci sa vydávajú za aplikácie na odosielanie správ Signal a ToTok. Zatiaľ čo aplikácia ToTok na Slovensku nie je taká známa a populárna, Signal využíva mnoho Slovákov.
Ako upozornili odborníci na kybernetickú bezpečnosť z webu BleepingComputer, internetom sa šíria dve špionážne kampane. Výskumníci ich označili názvami ProSpy a ToSpy.
Špionážne kampane cielia na Android
Útočníci cez svoje podvodné kampane cielia primárne na používateľov smartfónov s operačným systémom Android. Lákajú na falošnú aktualizácie alebo pluginy pre aplikácie na odosielanie správ Signal a ToTok. Ich zámerom je ukradnúť citlivé údaje používateľov a následne ich zneužiť vo svoj prospech.
Aby útočník dodal škodlivým aplikáciám dojem legitimity, distribuoval ich prostredníctvom webových stránok, ktoré sa vydávali za obe spomínané komunikačné platformy.
O aplikáciách, ktoré sa zneužívajú
Ako sme naznačili, mobilná aplikácia Signal patrí z týchto dvoch k populárnejším. Ide o end-to-end šifrovaný messenger, ktorý má aktuálne v obchode Google Play viac ako 100 miliónov stiahnutí.
ToTok je v našich končinách skôr neznámou aplikáciou. Vyvinula ju spoločnosť G42 so sídlom v Spojených arabských emirátoch. Spoločnosť sa zaoberá umelou inteligenciou, avšak v roku 2019 bola jej aplikácia vyradená z oficiálnych obchodov s aplikáciami. Používatelia ju nenájdu v App Store ani v Google Play. Dôvodom je, že táto aplikácia čelí obvineniam zo špionáže pre vládu Spojených arabských emirátov. ToTok je momentálne k dispozícii na stiahnutie len z oficiálnej webovej stránky a z obchodov s aplikáciami tretích strán.
Útočníci sa nevzdávajú
Výskumníci z kybernetickej bezpečnostnej spoločnosti ESET objavili kampaň ProSpy v júni tohto roka. Domnievajú sa však, že aktivita mohla začať už koncom roka 2024. Na základne ich analýzy sú kampane zamerané najmä na používateľov v Spojených arabských emirátoch, no nie je vylúčené ani globálne zacielenie.
Počas vyšetrovania bezpečnostní analytici objavili „dve predtým nezdokumentované rodiny špionážneho softvéru“, ktoré sa vydávajú za doplnok Signal Encryption Plugin a Pro variant aplikácie ToTok, pričom ani jeden z nich oficiálne neexistuje. Prevádzkovateľ spyware kampane distribuoval škodlivé APK súbory prostredníctvom webových stránok, ktoré sa vydávali za oficiálnu webovú stránku spoločnosti Signal a obchod Samsung Galaxy Store.
Neprehliadnite
Špionážne kampane chcú prístup k údajom
Ako uvádza portál BleepingComputer, po spustení vzorky malvéru ProSpy požaduje softvér prístup k zoznamu kontaktov, SMS správam a súborom, čo sú typické povolenia pre aplikácie na odosielanie správ. Po aktivácii v zariadení však malvér odfiltruje nasledujúce údaje:
- informácie o zariadení (hardvér, operačný systém, IP adresa)
- uložené SMS správy, zoznam kontaktov
- súbory (zvuk, dokumenty, obrázky, videá)
- Záložné súbory ToTok
- zoznam nainštalovaných aplikácií
Útočník má vďaka tomu prístup k súkromným údajom používateľa, ktoré môže ľahko zneužiť. Ako dodáva portál BleepingComputer, aby zostal malvér skrytý, „doplnok Signal Encryption používa na domovskej obrazovke ikonu a označenie služby Play. Okrem toho sa po klepnutí na ikonu otvorí informačná obrazovka legitímnej aplikácie služieb Google Play.“
Kampaň ToSpy mohla vzniknúť ešte skôr
Druhá spomínaná špionážna kampaň ToSpy mohla podľa odborníkov vzniknúť ešte skôr a to už v roku 2022. Táto kampaň však naďalej pokračuje, a preto je pre používateľov doteraz rizikom. Falošná aplikácia ToTok distribuovaná v rámci tejto kampane vyzýva obete, aby udelili povolenia na prístup ku kontaktom a úložisku a zhromažďuje súvisiace údaje so zameraním na dokumenty, obrázky, videá a zálohy chatu ToTok.
Čo robiť a čomu sa vyhnúť?
Používateľom operačného systému Android sa odporúča sťahovať aplikácie iba z oficiálnych alebo dôveryhodných zdrojov. Vhodnou voľbou môže byť aj stiahnutie aplikácie priamo z oficiálnej webovej stránky vydavateľa. Odborníci na kybernetickú bezpečnosť zároveň odporúčajú aktivovať si na svojom zariadení službu Play Protect. Tá dokáže odhaliť známe hrozby a používateľa aspoň čiastočne ochráni.
