Το κακόβουλο λογισμικό Gigabud RAT εκμεταλλεύεται τις υπηρεσίες προσβασιμότητας για να σύρει πληροφορίες

Το

κακόβουλο λογισμικό

έχει αποδειχθεί ότι είναι ένα ευλογημένα μικρό αλλά ακόμα επίμονο πρόβλημα ως κουνούπι στο

Android

. Οι χάκερ στοχεύουν συχνά γνωστά αδύνατα σημεία του λειτουργικού συστήματος για να επωφεληθούν από τους χρήστες και τις περισσότερες φορές γίνεται εκμετάλλευση του λογισμικού προσβασιμότητας. Πρόσφατα, οι ερευνητές στον τομέα της

κυβερνοασφάλεια

ς Group-IB απέδωσαν μια σειρά από οικονομικές παραβιάσεις σε όλη τη Νοτιοανατολική Ασία και την Κεντρική Αμερική στο Gigabud Random Access Trojan (RAT), σε

συσκευές

Android.

Αυτό το κακόβουλο λογισμικό

πρωτοεμφανίστηκε στην Ταϊλάνδη

, σύμφωνα με την πρόσφατη έκθεση του Group-IB. Τον Ιούλιο του 2022, οι Ταϊλανδοί χρήστες Android έλαβαν email και μηνύματα SMS που συνδέονταν με μια ψεύτικη έκδοση του ιστότοπου της Thai Lion Air. Οι δολωμένοι χρήστες κατέβασαν κακόβουλο λογισμικό, το εξουσιοδοτούσαν να έχει πρόσβαση στις συσκευές τους και του παραχώρησαν διάφορα δικαιώματα προκειμένου να πληρούν τις προϋποθέσεις για δάνειο. Οι παραλλαγές του Gigabud RAT δίνουν κίνητρα στους χρήστες να κατεβάσουν το κακόβουλο λογισμικό με διαφορετικούς τρόπους σε διαφορετικά περιβάλλοντα, αλλά η υπόθεση Thai Lion Air απεικονίζει τη βασική φόρμουλα.

Όπως ήταν αναμενόμενο, οι πληροφορίες που υπέβαλαν οι χρήστες στον ψεύτικο ιστότοπο δεν πήγαν στην Thai Lion Air. Αντίθετα, αυτό πήγε σε έναν διακομιστή που διευθύνεται από τα άτομα που κυκλοφόρησαν το κακόβουλο λογισμικό Gigabud RAT. Ρώσοι χάκερ ανέπτυξαν ένα παρόμοιο σύστημα συλλογής δεδομένων πέρυσι. Μόλις εγκατασταθεί, τέτοιο κακόβουλο λογισμικό μπορεί να κάνει περισσότερα από την αναμετάδοση δεδομένων. Χάρη στη σύνδεση με τις υπηρεσίες προσβασιμότητας του Android, το λογισμικό μπορεί να αλληλεπιδρά κρυφά με άλλες εφαρμογές, να συλλέγει δεδομένα από αυτές και ακόμη και να ανακατεύει ό,τι έχετε αποθηκεύσει στο πρόχειρο.

Είναι σημαντικό ότι αυτό το κακόβουλο λογισμικό δεν κάνει τίποτα κακό μέχρι

μετά

παραχωρούνται άδειες χρήσης και προσβασιμότητας, γεγονός που καθιστά δύσκολη την παρακολούθηση. Μόλις εγκατασταθεί, το κακόβουλο λογισμικό Gigabud RAT μπορεί να αλληλεπιδράσει σε μεγάλο βαθμό με το λογισμικό του τηλεφώνου σας σαν να το κάνατε μόνοι σας, ανοίγοντας την πόρτα για εκμεταλλεύσεις με έλεγχο ταυτότητας ή ακόμη και μεταφέροντας χρήματα.

Δεδομένης όλης αυτής της περίπλοκης λειτουργικότητας, οι κακοί ηθοποιοί που χρησιμοποιούν το Gigabud RAT για να διαπράξουν απάτες τείνουν να προτιμούν τεχνικές παθητικής συλλογής πληροφοριών για τη συλλογή ευαίσθητων δεδομένων όπου είναι δυνατόν, όπως καταγραφή πληκτρολογίου και εγγραφή οθόνης. Αυτό, επίσης, ελαχιστοποιεί την ανιχνευσιμότητα.

Το Group-IB αναφέρει ότι ανιχνεύει περισσότερες από 400 περιπτώσεις Gigabud RAT στη φύση, ενεργό σε περισσότερες από 100 χώρες. Οι φορείς απειλών το έχουν αναπτύξει σε σχέδια για να υποδυθούν περισσότερες από 25 εταιρείες και κυβερνητικές υπηρεσίες. Αυτά τα ευρήματα σηματοδοτούν έναν εκπληκτικό ρυθμό ανάπτυξης και γεωγραφική εξάπλωση από τότε που οι ερευνητές εντόπισαν για πρώτη φορά τη διακριτή οικογένεια κακόβουλου λογισμικού Gigbabud πέρυσι.

Το Android 14 θα αναβαθμίσει την προστασία του Accessibility API, το οποίο θα κάνει πιο δύσκολο τον τύπο των παραβιάσεων ασφαλείας που εκτελούνται από κακόβουλο λογισμικό όπως το Gigabud RAT, το Nexus και το Cereberus. Το Google Play απέσυρε πρόσφατα την εφαρμογή iRecorder Screen Recorder από το Play Store λόγω ανησυχιών σχετικά με την ευπάθεια. Ας ελπίσουμε ότι οι καλύτερες τεχνικές σάρωσης βοηθούν να κρατούν εφαρμογές όπως αυτή μακριά από τους χρήστες αρχικά.