През лятото светът бе разтърсен от съществуването на шпионския софтуер Pegasus - на израелската компания NSO Group - разкрито от медиен консорциум в съвместно разследване. В сряда изследователи от компанията за киберсигурност Zimperium zLabs предупредиха за откриването на нов зловреден софтуер, наречен PhoneSpy, който вече е засегнал много потребители на Android в Южна Корея.
Досега програмата е повредила телефоните на повече от 1000 души в тази страна. „Злонамерената група, която стои зад тази инвазивна кампания, получава достъп до всички данни, комуникации и услуги на техните устройства", подчертаха от Zimperium zLabs.
Шпионският софтуер рутинно прониква в устройствата, като използва уязвимости. В случая с Pegasus, например, се изпраща това, което е известно като trap link, което убеждава жертвата да го докосне и по този начин да активира шпионски софтуер. Но има и стратегия за „нулево кликване", когато програмата се инсталира без намеса на потребителя.
Междувременно PhoneSpy се маскира и се представя като всяко редовно приложение, с теми, вариращи от йога до показване на снимки и видеоклипове. Общо присъствието на шпионски софтуер е открито в 23 приложения.
Експертите посочиха, че подобни приложения не се предлагат в нито един магазин на приложения за Android, което предполага, че хакерите използват в този случай „методи за разпространение, базирани на пренасочване на уеб трафик или социално инженерство".
Ричард Мелик, автор на блога на сайта Zimperium zLabs, подробно описа в коментар към портала TechCrunch, как киберпрестъпниците използват инструменти като „фишинг", за да проникнат в телефоните на своите жертви, „подмамвайки крайния потребител да изтегли това, което смятате за легитимно приложение от компрометиран уебсайт или директна връзка."
Чрез превземане на смартфона със система Android, злонамерената програма позволява достъп до камерата, правене на снимки и запис на видео и аудио. Наред с други неща, хакерите могат също да наблюдават GPS координатите, да крадат съобщения, контакти и дневници на обажданията и да тестват въпросния мобилен телефон по контролиран начин. В този смисъл, възможностите на PhoneSpy са подобни на тези на Pegasus, според оценката на портала Threatpost.
Zimperium zLabs не е определил кой разпространява и използва PhoneSpy, но заяви, че е съобщил за откритието на властите в Южна Корея и САЩ. Компанията предложи на хоста на сървъра за командване и контрол своята помощ за прекратяване на зловредния софтуер. Въпреки това шпионският софтуер все още е активен.
