Новое чат-приложение «Welcome Chat», позиционирующее себя в качестве безопасного и надежного сервиса для обмена сообщениями, является частью масштабной кампании кибершпионажа. Судя по размаху, сходству с ранее выявленным малварем BadPatch, его разработали не программисты Даркнета. Вероятно, что инициаторы шпионской кампании базируются на Ближнем Востоке.
Об этом заявили аналитики кибербезопасности из ESET, исследовав программу. К сожалению, чат-приложение является вполне функциональным. Никаких сбоев в работе. До тех пор, пока не становится понятно, что приложение не просто шпионит, но и похищает SMS-сообщения, сведения из журнала звонков (входящие/исходящие), контакты, фото и записи телефонных звонков, а также фиксирует местонахождение устройства.
Рекламирующий и распространяющий приложение веб-сайт, предлагает пользователям полностью «защищенный» чат. Заявляется, что программа доступна для скачивания в магазине Google Play. Хотя, это ложь, поскольку приложение никогда не предлагалось в официальном магазине Android-софта. Мало того, что после его загрузки пользователь оказывается «под колпаком», так еще операторы чата допускают утечку данных. Передаваемые записи не шифруются, они доступны и злоумышленнику, и любому любопытствующему в той же сети.
Либо намеренно размещали данные о своих жертвах в свободном доступе. Согласитесь, такая манера поведения не соответствует логике криминального сообщества из Даркнета.
Этот веб-сайт, к тому же, использует арабский язык, что существенно сужает не только выбор «целевой аудитории жертв» злоумышленников, но и местонахождение инициаторов угрозы. Этот фактор, как и ряд иных признаков, свидетельствуют, что кампания запущена группой киберпреступников Gaza Hackers или Molerats. Примечательно, что домен был зарегистрирован в октябре 2019 года.
Исследователи из ESET установили основные этапы работы шпионского чата-приложения. В принципе, особых отличий от поведения иных вредоносов, загруженных не из официальных источников в Google Play, не замечено. Все, как обычно:
- при установке прога требует внести изменения в настройки устройства - разрешить установку софта из неизвестного источника;
- после инсталляции вредонос требует разрешения на отправку и просмотр SMS-сообщений;
- настойчиво запрашивается доступ к файлам и записи аудио;
- чат-приложение не запускается до тех пор, пока пользователь не даст согласие на доступ к контактам и контролю местонахождения устройства;
- после получения требуемых разрешений, интегрированная в Welcome Chat шпионская прога начинает получать команды со своего командного сервера (C&C), выгружая туда всю собранную информацию.
Пока еще это шпионское приложение нацелено на Ближний Восток. Контент на сайта – написан на арабском языке. Однако, нет никаких гарантий, что его не начнут распространять и вне пределов Ближнего Востока.
На основании этого эксперты Darknet.Global настойчиво рекомендуют устанавливать приложения лишь из магазина Google Play. В крайнем случае – с сайтов надежных поставщиков.
Кроме того, следует обращать внимание на такие необычные требования, как предоставление слишком больших прав загружаемому приложению. Особенно, если требуется гораздо больше, нежели необходимо для нормального функционирования сервиса.
Исследователи ESET попытались установить, является ли распространяемое чат-приложение Welcome Chat атакующей троянской версией «чистого коммуникационного продукта». Искали даже разработчика. Но, безуспешно.
Источник - https://darknet.global/budte-vnimatelny-yakoby-bezopasnyj-welcome-chat-na-samom-dele-shpionskoe-prilozhenie/