Заразиться от мессенджера

Сегодня продолжим рассказывать о наработках бравых ребят из MalwareHunterTeam, которые в течение всего 2020 года наблюдают за деятельностью нового шпионского ПО от группировки APT-C-23.

Малварь Android/SpyC23 прячется в установочных файлах таких мессенджеров для Android, как Threema, Telegram, WeMessage на непроверенных репозиториях Android-приложений.

Прежняя версия Android/SpyC23 умела заливать и удалять файлы, делать скриншоты экрана смартфона, записывать аудио, копировать контакт-листы и журналы вызовов.

Эволюционировавший зловред научился перехватывать и блокировать сообщения из мессенджеров и социальных сетей и, что особенно “приятно”, скрывать тревожные оповещения службы безопасности Android (securitylogagent — на устройствах Samsung, com.miui.securitycenter — на Xiaomi, huawei.systemmanager — на Huawei).

Кроме того, в своей новой версии Android/SpyC23 обнаруживается крайне малым количеством антивирусов. Так, онлайн-служба VirusTotal, которая проверяет файлы и ссылки на наличие вредоносов с помощью движков ведущих антивирусных систем, обнаружила нашего “героя” с помощью всего одного движка из пятидесяти восьми.

Самым зорким антивирусом оказалось АВПО от ESET, сотрудники которого написали обширную статью про развитие вредоносов от APT-C-23 с 2017 года, к которой я тебя и отправляю.

Что по итогу? Главное, что следует помнить, это то, откуда исходят заражения. Вредоноса подхватывают только те пользователи Android, которые используют неофициальные магазины приложений, как например DigitalApps, на котором и был впервые встречен новый Android/SpyC23. Система защиты сомнительных репозиториев сама остаётся довольно сомнительной. А потому, методика защиты в данном случае максимально проста — качай приложения с официальных проверенных ресурсов, которые сами стараются следить за тем, что раздают.