Ερευνητές ασφαλείας εντόπισαν μια επίθεση watering-hole σε έναν ειδησεογραφικό ιστότοπο, το Hunza News, ο οποίος μεταδίδει ειδήσεις για το Gilgit-Baltistan, μια αμφισβητούμενη περιοχή που διοικείται από το Πακιστάν. Ο ερευνητής Lukas Stefanko της ESET αποκάλυψε ότι η επίθεση στοχεύει χρήστες στην περιοχή, που μιλούν Ούρντου, και αναπτύσσει ένα άγνωστο, μέχρι τώρα, λογισμικό υποκλοπής που ονομάζεται Kamran spyware.
Η επίθεση επηρεάζει κυρίως χρήστες κινητών τηλεφώνων που έχουν πρόσβαση στην Ούρντου έκδοση του ιστότοπου Hunza News, που προσφέρει μια φαινομενικά νόμιμη εφαρμογή Android. Ωστόσο, αυτή η εφαρμογή διαθέτει δυνατότητες κατασκοπείας, συλλέγοντας ευαίσθητα δεδομένα όταν χορηγούνται ορισμένες άδειες από τους χρήστες. Το Kamran spyware έχει παραβιάσει τουλάχιστον 20 κινητές συσκευές.
Δείτε επίσης: Arid Viper στοχεύουν χρήστες Android με spyware
Ο ερευνητής Stefanko διευκρίνισε ότι η λήψη της κακόβουλης εφαρμογής γίνεται απευθείας από τον ιστότοπο και όχι από το Google Play store. Απαιτεί από τους χρήστες να ενεργοποιήσουν τη δυνατότητα εγκατάστασης εφαρμογών από άγνωστες πηγές.
Συγκεκριμένα, το Kamran spyware εμφανίστηκε στον ιστότοπο μεταξύ 7 Ιανουαρίου και 21 Μαρτίου 2023, κατά τη διάρκεια μιας περιόδου διαμαρτυριών στο Gilgit-Baltistan σχετικά με δικαιώματα γης, φορολογικά ζητήματα, διακοπές ρεύματος και παροχές τροφίμων. Αυτή η περιοχή αποτελεί μέρος της ευρύτερης διαμάχης μεταξύ Ινδίας και Πακιστάν, καθώς έχει στρατηγική σημασία. Αυτό οφείλεται στη θέση της, αφού βρίσκεται κατά μήκος της εθνικής οδού Karakoram διευκολύνοντας το εμπόριο μεταξύ Πακιστάν και Κίνας.
Το Kamran spyware έχει μια μοναδική σύνθεση κώδικα. Μόλις ο χρήστης χορηγήσει τις άδειες που ζητά η κακόβουλη εφαρμογή, συλλέγει διάφορα ευαίσθητα δεδομένα, όπως μηνύματα SMS, επαφές, πληροφορίες τοποθεσίας και άλλα. Στη συνέχεια, μεταφέρει αυτές τις πληροφορίες σε έναν Firebase command-and-control (C2) server.
Δείτε επίσης: SpyNote: Το Android spyware καταγράφει τις κλήσεις σας
Μια λίστα δεικτών παραβίασης (IoC), που σχετίζονται με την επίθεση διανομής του Kamran spyware, περιλαμβάνεται στην έκθεση της ESET.
Τρόποι προστασίας
Οι χρήστες μπορούν να λάβουν διάφορα μέτρα ασφαλείας για να προστατεύσουν τις συσκευές τους από κακόβουλες εφαρμογές, όπως αυτή που διανέμει το Kamran spyware. Ένα από τα πιο σημαντικά μέτρα είναι να κατεβάζουν εφαρμογές μόνο από επίσημες πηγές, όπως το Google Play Store για το Android και το App Store για το iOS. Αυτές οι πλατφόρμες έχουν μηχανισμούς ασφαλείας που ελέγχουν τις εφαρμογές πριν τις διαθέσουν στους χρήστες.
Επιπλέον, οι χρήστες πρέπει να είναι προσεκτικοί με τα δικαιώματα που ζητούν οι εφαρμογές κατά την εγκατάσταση. Αν μια εφαρμογή ζητά περισσότερα δικαιώματα από ό,τι χρειάζεται για τη λειτουργία της, μπορεί να είναι ύποπτη. Οι χρήστες πρέπει να εξετάζουν προσεκτικά τα δικαιώματα πριν εγκαταστήσουν μια εφαρμογή και να αποφεύγουν τις εφαρμογές που ζητούν πρόσβαση σε ευαίσθητα δεδομένα όπως προσωπικές πληροφορίες ή την τοποθεσία τους.
Δείτε επίσης: Fake εφαρμογή RedAlert εγκαθιστά spyware σε συσκευές Android
Επιπλέον, η ενημέρωση των συσκευών και των εφαρμογών είναι σημαντική για την ασφάλεια. Οι κατασκευαστές και οι προγραμματιστές εκδίδουν τακτικά ενημερώσεις που περιλαμβάνουν διορθώσεις ασφαλείας και βελτιώσεις. Οι χρήστες πρέπει να ελέγχουν για ενημερώσεις και να εγκαθιστούν τις τελευταίες εκδόσεις τόσο του λειτουργικού συστήματος όσο και των εφαρμογών που χρησιμοποιούν.
Τέλος, η εγκατάσταση ενός αξιόπιστου λογισμικού ασφαλείας είναι απαραίτητη για την προστασία από κακόβουλες εφαρμογές. Τα anti-virus και anti-malware προγράμματα μπορούν να εντοπίσουν και να αφαιρέσουν κακόβουλο λογισμικό από τις συσκευές. Οι χρήστες πρέπει να επιλέξουν ένα αξιόπιστο πρόγραμμα ασφαλείας και να το ενημερώνουν τακτικά για να διατηρούν την ασφάλεια των συσκευών τους.
Πηγή: www.infosecurity-magazine.com
