Bezpečnostní výzkumníci objevili nový spyware zaměřený na uživatele Androidu v Izraeli. Aktéři hrozeb používají falešnou verzi aplikace „RedAlert – Rocket Alerts“ ke krádeži informací z telefonu oběti. Aplikace může shromažďovat seznam kontaktů uživatele, zprávy, protokoly hovorů, IMEI telefonu, přihlášené e-maily a další data.
Aktéři hrozeb se zaměřují na izraelské uživatele Androidu pomocí aplikace „RedAlert“ obsahující spyware
RedAlert – Rocket Alerts je skutečná aplikace s otevřeným zdrojovým kódem, kterou izraelští občané používají k získávání upozornění v reálném čase na příchozí rakety nebo rakety. Aplikace je v Obchodě Google Play již dlouhou dobu, ale po eskalaci konfliktu mezi Izraelem a Gazou začátkem tohoto měsíce zaznamenala náhlý nárůst popularity. Zprávy říkají, že od 7. října Hamás vypustil do země více než 5000 raket.
V návaznosti na tuto válku se izraelští občané spoléhají na aplikaci RedAlert – Rocket Alerts, aby dostali včasné varování o náletech a hledali bezpečí. Aplikace vyvinutá společností EladNava již získala více než milion stažení v Obchodě Play. Je k dispozici také pro iPhony v Apple App Store. Někteří lidé bohužel hledají aplikace spíše online než v obchodech. Aktéři hrozeb toho využívají, aby je přiměli ke stažení spywaru.
Podle Cloudflare lidé za tímto útokem vytvořili webovou stránku „redalerts[.]mě“ dne 12. října 2023 k distribuci aplikace s spywarem. Obsahuje dvě tlačítka pro stažení aplikace pro platformy Android a iOS. Poslední tlačítko přenese uživatele do originální aplikace v App Store. Tlačítko stahování pro Android však stáhne falešný soubor APK přímo do zařízení uživatele.
Nic netušící uživatelé, kteří navštíví web a hledají aplikaci RedAlert – Rocket Alerts, si myslí, že si stáhli originální aplikaci, a pokračují v její instalaci. Protože je falešná verze vytvořena pomocí skutečného zdrojového kódu aplikace, nabízí stejné funkce. Takže ani po instalaci většina lidí nezaznamená žádnou anomálii. Falešná aplikace však od uživatele požaduje dodatečné povolení ke shromažďování dat, která nevyžaduje.
Tento útok nám připomíná nebezpečí bočního načítání aplikací
Při spuštění spywarová verze RedAlert – Rocket Alerts zneužívá oprávnění ke krádeži dat a nahrává je na servery provozované aktéry hrozeb. Aplikace využívá antianalytické taktiky, jako je anti-debugging, anti-emulation a anti-test, aby se zabránilo odhalení jejích škodlivých aktivit. Každý však může rozlišit mezi skutečnou a falešnou aplikací kontrolou oprávnění. Ten požaduje příliš mnoho zbytečných oprávnění.
Tento útok znovu demonstruje nebezpečí bočního načítání aplikací z neznámých zdrojů. Vždy byste měli stahovat aplikace z oficiálních zdrojů, jako je Obchod Google Play. Web používaný k distribuci spywarové verze aplikace RedAlert – Rocket Alerts byl odstraněn, ale útočníci by mohli brzy spustit novou doménu. Pokud tuto aplikaci používáte, ujistěte se, že je stažena z Obchodu Play a aktualizujte ji na nejnovější verzi.
Zdroj: androidheadlines.com
