Слышите сирену? Нет? Больше не услышите. Хакеры украли последнюю надежду на спасение
Смартфон замолчал и начал тотальную слежку.
В Израиле зафиксировали новую шпионскую кампанию, которая маскируется под знакомый многим сервис экстренных оповещений. Злоумышленники рассылают SMS с предложением установить якобы обновлённую версию приложения для предупреждения о ракетной угрозе, а вместо полезной программы жертвы получают вредоносное ПО для слежки.
О находке сообщила команда Acronis Threat Research Unit. Специалисты обнаружили вредоносное приложение 1 марта — после того, как жители Израиля начали жаловаться на подозрительные сообщения в соцсетях. По данным компании, атака, вероятно, носит массовый характер, а точное число успешных заражений пока неизвестно. Предупреждения о кампании уже выпустили Национальное киберуправление Израиля и крупные местные СМИ.
Для приманки атакующие использовали поддельные SMS от имени официального сервиса Oref Alert, который рассылает предупреждения о ракетных обстрелах. В сообщениях предлагали скачать новую версию приложения через сокращённую ссылку bit.ly. Переход вёл не к легальному обновлению Red Alert, а к загрузке шпионской программы.
По оценке Acronis, за кампанией может стоять связанная с ХАМАС группировка Arid Viper, известная также атаками на израильских пользователей Android, iPhone и Windows с 2013 года. Вредоносная программа запрашивает 20 разрешений, а наиболее опасные из них открывают доступ к точному местоположению, SMS, контактам и учётным записям, сохранённым на устройстве.
Анализ показал, что приложение умеет накладывать фальшивые окна поверх других программ. Такой приём позволяет перехватывать одноразовые коды, логины, пароли и платёжные данные. После перезагрузки смартфона программа запускается снова, а собранные сведения постоянно отправляет на удалённый сервер управления. Схожая механика задокументирована в ряде других кампаний с использованием шпионского ПО для мобильных устройств.
Элиад Кимхи из Acronis сообщил The Register, что разработчики вредоносного ПО попытались придать приложению вид легального софта. Для маскировки использовали поддельные сертификаты и подмену источника установки, из-за чего Android мог показывать загрузку как установку из Google Play.
Сантьяго Понтироли из Acronis связал новую волну атак с очередным витком военной напряжённости в регионе. По его словам, во время таких кризисов кибергруппы активно эксплуатируют тему ракетных ударов, тревожных уведомлений и срочных обновлений, чтобы собирать разведданные и отслеживать цели, представляющие оперативный интерес.