Специалисты ESET зафиксировали ранее неизвестный шпионский софт для Android, который злоумышленники используют в атаках на жителей Гилгит-Балтистана, говорящих на языке урду. Вредонос получил имя Kamran.
Согласно отчету ESET, в кампании по распространению Android-шпиона используется новостной сайт Hunza News (urdu.hunzanews[.]net). Если его открыть на мобильном устройстве, посетителю предложат скачать соответствующее приложение.
https://www.anti-malware.ru/files/fi...interface.jpeg
За все время со старта кибероперации злоумышленникам удалось заразить по меньшей мере 20 смартфонов. Софт со шпионской функциональностью хостился на новостном ресурсе в период с 7 января по 21 марта 2023 года.
После установки приложение запрашивает нетипичные права в системе, что сразу должно насторожить внимательных пользователей. Основная цель программы — собрать конфиденциальную информацию на девайсе жертвы.
Вредонос способен передавать операторам следующие данные:<ul><li>журнал вызовов;</li>
</ul><ul><li>события в календаре;</li>
</ul><ul><li>данные геолокации;</li>
</ul><ul><li>файлы;</li>
</ul><ul><li>СМС-сообщения;</li>
</ul><ul><li>фото;</li>
</ul><ul><li>список установленных приложений;</li>
</ul><ul><li>метаданные устройства.</li>
</ul>Все собранные сведения отправляются на командный сервер (C2), размещающийся в системе Firebase. Создатели Kamran лишили его возможности открывать удаленный доступ к смартфону.
Шпион в целом получился достаточно легким с функциональной точки зрения. Например, он собирает данные не в фоне, а только при непосредственной работе с программой.
Кто стоит за разработкой Kamran, пока установить не удалось.
https://www.anti-malware.ru/news/202...0-111332/42275