Kampania Sextortionist jest skierowana do użytkowników iOS i Androida z nowym oprogramowaniem szpiegującym. Goontact zachęca użytkowników nielegalnych stron internetowych za pomocą komunikatora Telegram i innych bezpiecznych aplikacji do wysyłania wiadomości a następnie kradnie ich informacje w celu wykorzystania ich w przyszłości w nieuczciwy sposób.
Hakerzy tym razem wzięli na celownik bywalców mobilnych witryn dla dorosłych i korzystających z iOS i Android,
Oprogramowanie szpiegujące, nazywane Goontact, jest skierowane do użytkowników serwisów oferujących usługi towarzyskie (i inne związane z seksem) – szczególnie w krajach chińskojęzycznych, Korei i Japonii (według badań opublikowanych w środę przez organizację Lookout Threat Intelligence).
Złośliwe oprogramowanie (malware) może być ostatecznie wykorzystane do kradzieży danych użutkowników. Informacje pobierane z urządzeń obejmują numer telefonu, listę kontaktów, wiadomości SMS, zdjęcia i dane dotyczące lokalizacji. Charakter przeszukiwania danych i kontekst ataków „sugeruje, że ostatecznym celem jest wymuszenie lub szantaż”, zauważają analitycy Robert Nickle, Apurva Kumar i Justin Albrecht w raporcie opublikowanym w środę online.
Oszustwa na tle seksoholistycznym, w których podmioty grożące twierdzą, że posiadają nagrania wideo lub inne informacje łączące potencjalną ofiarę z nielegalną działalnością, która mogłaby zagrozić małżeństwu, pracy lub innemu istotnemu związkowi lub zainteresowaniu, nie są niczym nowym. Jednak napastnicy zazwyczaj używają poczty elektronicznej do realizacji tego typu oszustw, stosując różne taktyki, aby ominąć obronę e-mailową i wyłudzić od ofiar pieniądze.
Nowa kampania wykorzystuje inną, ewoluującą taktykę. Wabi ona potencjalny cel, zapraszając go poprzez reklamę na nielegalnej stronie internetowej, aby połączył się z kobietami za darmo za pomocą aplikacji KakaoTalk lub Telegram.
„Cele są przekonywane do zainstalowania aplikacji mobilnej pod jakimś pretekstem, takim jak problemy audio lub wideo”, napisali. „Aplikacje mobilne, o których mowa, wydają się nie mieć żadnej rzeczywistej funkcjonalności użytkowej, poza kradzieżą książki adresowej ofiary, która jest następnie wykorzystywana przez napastnika w celu wymuszenia na celu uzyskania korzyści finansowych”.
Specyfika ataku jest różna w zależności od tego, czy ofiara używa urządzenia z systemem iOS czy Android. Ataki z iOS mają mniejszą zdolność do kradzieży danych, przekazując tylko numer telefonu ofiary i listę kontaktów, twierdzą analitycy. W niektórych późniejszych iteracjach oprogramowania szpiegującego, łączy się ono z drugorzędnym serwerem komend i kontroli (C2) i wyświetla komunikat dostosowany do użytkownika przed wyjściem z aplikacji.
Atak na Androida ma znacznie więcej możliwości – „Oprócz kradzieży kontaktów, próbki te zawierają bardziej zaawansowane funkcje, takie jak eksfiltracja wiadomości SMS, zdjęć i lokalizacji”, napisali naukowcy.
Zespół Lookout uważa, że informacje skradzione w kampanii zostaną wykorzystane do szantażu lub oszustwa wobec ofiar, choć do tej pory nie znaleziono żadnych dowodów potwierdzających ten scenariusz.
Sama kampania jest podobna do tej, którą analitycy opisali w 2015 r.
„Jednak grupa Goontact malware jest nowatorska i nadal aktywnie się rozwija”, a jej najwcześniejszą próbę zaobserwowano w listopadzie 2018 roku – twierdzą analitycy.
Specjaliści z działu Lookout skontaktowali się z Google i Apple w sprawie Goontact, a także poinformowali klientów Threat Advisory Services o dodatkowych informacjach na temat oprogramowania szpiegowskiego i innych zagrożeń.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
Chińscy hakerzy wykorzystują Dysk Google do umieszczania złośliwego oprogramowania w sieciach rządowych