Киберпреступная группировка APT-C-23 (также известная как GnatSpy, FrozenCell и VAMP) обновила функционал своего шпионского ПО для Android-устройств для проведения атак на пользователей на Ближнем Востоке. Новые возможности вредоноса позволяют ему быть более устойчивым к удалению с устройства и маскироваться под безобидные обновления приложений. Группировка APT-C-23 активна по крайней мере с 2017 года. За годы существования группировка неоднократно обновляла свой инструмент для шпионажа, добавляя новые функции. Теперь вредонос получил возможность слежки за изображениями, контактами и журналами вызовов, чтение уведомления из приложений для обмена сообщениями, запись звонков (в том числе WhatsApp) и отклонение уведомлений из встроенных приложений безопасности Android. В прошлом шпионское ПО группировки APT-C-23 распространялось через поддельные магазины Android-приложений под видом AndroidUpdate, Threema и Telegram. В ходе последней вредоносной кампании шпионское ПО принимает форму приложений, которые предназначены для установки обновлений на телефон, например, «Обновление приложений», «Обновление системных приложений» и «Аналитика обновлений Android». Предположительно, злоумышленники доставляют шпионское приложение, отправляя ссылку для скачивания потенциальным целям через смишинг-сообщения (вид фишинга через SMS). После установки приложение начинает запрашивать разрешения для выполнения ряда вредоносных действий, предназначенных для обхода любых попыток вручную удалить вредоносное ПО. Приложение меняет свою иконку, маскируясь под такие популярные приложения, такими как Chrome, Google, Google Play и YouTube. Кроме того, если пользователь щелкнет на мошенническую иконку, запускается легитимная версия приложения, пока в фоновом режиме будет происходить слежка.