Na používateľov mobilných zariadení s operačným systémom Android aktuálne cielia dve nebezpečné špionážne kampane. Útočníci využívajú známe aplikácie na odosielanie správ Signal a ToTok, pričom ich cieľom je kradnúť citlivé údaje používateľov a následne ich zneužiť vo svoj prospech. Podvodníci pritom vytvorili falošné aplikácie, ktoré sa vydávajú za funkcie týchto nástrojov, a distribuovali ich cez podvodné webové stránky napodobňujúce oficiálne portály. Prípad už skúmajú kyberbezpečnostní experti.
Nové spyware kampane ProSpy a ToSpy
Kampaň so škodlivým softvérom pomenovaným ako ProSpy bola údajne objavená odborníkmi bezpečnostnej spoločnosti ESET začiatkom tohto roka, hoci sa predpokladá, že jej aktivita sa mohla začať už koncom roka 2024. Ďalšia známa kampaň nesúca názov ToSpy, ktorá využíva falošnú verziu aplikácie ToTok, podľa dostupných informácií operuje dokonca od roku 2022. Napriek tomu, že aplikácia ToTok nie je vo väčšine európskych krajín bežne používaná, možnosť globálneho zacielenia útočníkmi nemožno vylúčiť.
Útočníci v oboch prípadoch využili sofistikované techniky na zvýšenie dôveryhodnosti škodlivých aplikácií. ProSpy bol distribuovaný prostredníctvom domén imitujúcich oficiálnu stránku služby Signal a dokonca falošného obchodu Samsung Galaxy Store. Týmto spôsobom sa podarilo presvedčiť obete o legitímnosti aplikácie na odosielanie správ, pričom po inštalácii môže tento spyware získať citlivé údaje.
Špionážny softvér a jeho vplyv
Keď obeť nainštaluje falošnú aplikáciu Signal Encryption Plugin, spyware žiada prístup k štandardným povoleniam, ako zoznam kontaktov, SMS správy či úložisko zariadenia. Po udelení týchto povolení dokáže ProSpy zhromažďovať množstvo informácií vrátane údajov o zariadení, uložených správ, došlých súborov ako obrázky, videá alebo dokumenty, ale aj zoznamu nainštalovaných aplikácií. To isté platí pre ToSpy, ktoré je zamerané na používateľov falošnej aplikácie ToTok a má podobne deštruktívne schopnosti.
Útočníci navyše zabezpečili, že ProSpy zostane čo najdlhšie neodhalený. Ikona a označenie tejto aplikácie na domovskej obrazovke napodobňuje služby Google Play, pričom pri pokuse o jej spustenie smeruje užívateľa na informačnú obrazovku originálnej platformy. Táto technika úspešne znižuje pravdepodobnosť, že malware bude rýchlo odhalený.
Opatrenia pre bezpečnosť
Odborníci na kybernetickú bezpečnosť radia všetkým používateľom Androidu, aby sťahovali aplikácie výhradne z oficiálnych alebo overených zdrojov, akými sú obchody Google Play či App Store. V prípade, že oficiálny obchod aplikáciu neponúka, odporúča sa jej stiahnutie priamo z hlavnej webovej stránky vývojára. Na ochranu pred podobnými hrozbami sa zároveň odporúča zapnúť si službu Play Protect na svojom zariadení. Táto funkcia dokáže rozpoznať známe hrozby a aspoň do istej miery ochrániť citlivé údaje.
Aj keď sú špionážne kampane ProSpy a ToSpy zamerané primárne na krádež dát používateľov, ich skutočné následky môžu byť oveľa ďalekosiahlejšie. Šírenie dezinformácií, zneužívanie súkromných informácií či ekonomická špionáž sú len niektoré z problémov, ktoré môžu mať širokospektrálne dopady. Preto je obozretnosť a informovanosť kľúčovou ochranou pred týmito hrozbami.
