Киберпреступная группировка APT-C-23 (другие названия Two-Tailed Scorpion и Desert Scorpion) вооружилась новым вариантом шпионского ПО для Android-устройств с обновленной C&C-стратегией и расширенным шпионским функционалом для слежения за пользователями WhatsApp и Telegram.
В настоящее время вредоносное ПО Android/SpyC32.A (по классификации ИБ-компании ESET) используется в кампании против пользователей в странах Среднего Востока. Вредонос является новым вариантом уже существующего вредоносного ПО, использовавшегося группировкой APT-C-23 в атаках на пользователей.
«Как показывают наши исследования, группировка APT-C-23 все еще активна, совершенствует свой набор инструментов для атак на мобильные устройства и проводит новые кампании. Новая версия используемого группой шпионского ПО, Android/SpyC32.A, получила ряд улучшений, делающих ее еще более опасной для пользователей», — сообщается в новом отчете ИБ-компании ESET.
Группировка APT-C-23 и ее вредоносное ПО для мобильных устройств были впервые обнаружены в 2017 году сразу несколькими ИБ-компаниями. Обновленная версия вредоноса, Android/SpyC23.A, используется с мая 2019 года, но была обнаружена только в июне нынешнего года.
Злоумышленники распространяют вредоносное ПО под видом легитимного мессенджера WeMessage. Приложение на сто процентов является вредоносным, и не похоже на настоящее. Оно не имеет никакого функционала, а его единственным предназначением является установка на устройстве шпионской программы.
Каким образом распространяется новая версия вредоноса, пока неизвестно. Предыдущие версии распространялись через приложения в мошенническом магазине для Android под названием DigitalApps. Наряду с легитимными приложениями этот магазин также предлагал пользователям поддельное ПО, выдаваемое за AndroidUpdate, Threema и Telegram. Однако поддельный мессенджер WeMessage через DigitalApps не распространяется.