Uočena je sofisticirana Android kampanja za krađu identiteta koja iskorištava kulturni značaj pozivnica za vjenčanja kako bi distribuisala maliciozni softver. Napad, nazvan “Pozivnica za vjenčanje”, koristi sveprisutnost digitalnih komunikacijskih platformi za ciljanje nesvjesnih mobilnih korisnika putem pažljivo osmišljenih taktika socijalnog inženjeringa.
Ova kampanja malicioznog softvera funkcioniše putem popularnih platformi za razmjenu poruka, uključujući WhatsApp i Telegram, gdje napadači distribuišu naizgled legitimne digitalne pozivnice za vjenčanja koje sadrže maliciozne APK datoteke. Ove obmanjujuće aplikacije predstavljaju se kao autentične aplikacije za pozivnice za vjenčanja, iskorištavajući povjerenje korisnika i znatiželju u vezi s društvenim događajima kako bi omogućile instalaciju kompromitovanog softvera.
Istraživači kompanije Broadcom identifikovali su ovu prijetnju kao dio svog tekućeg sigurnosnog nadzora, ističući sofisticirani pristup kampanje distribuciji mobilnog malicioznog softvera. Ovo otkriće objavljeno je putem sigurnosnog biltena kompanije Broadcom, naglašavajući rastuću složenost prijetnji na mobilnim uređajima.
Napad pokazuje razvijajući pejzaž mobilnih prijetnji, gdje sajberkriminalci sve više koriste socijalne kontekste i kulturne prakse kako bi povećali svoje šanse za uspjeh. Jednom uspješno instalirana na ciljane uređaje, maliciozna aplikacija raspoređuje SpyMax RAT ili slične varijante udaljenog pristupa trojana. Maliciozni softver pokazuje napredne mogućnosti prikrivanja, uključujući sposobnost sakrivanja ikone aplikacije iz interfejsa uređaja, što znatno otežava otkrivanje od strane običnih korisnika. Špijunski softver automatski se aktivira tokom pokretanja sistema, uspostavljajući trajni pristup kompromitovanom uređaju.
Mehanizam zaraze i eksfiltracija podataka za SpyMax RAT uključuje višefazni proces infekcije dizajniran da maksimizira prikupljanje podataka uz minimiziranje vjerovatnoće otkrivanja. Nakon uspješne instalacije, maliciozni softver uspostavlja sveobuhvatne mogućnosti nadzora nad više funkcija uređaja. Trojan sistematski prikuplja osjetljive informacije, uključujući SMS poruke, liste kontakata, dnevnike poziva, obrasce unosa teksta (tipkanja) i jednokratne lozinke koje se koriste za potrebe autentifikacije.
Mehanizam eksfiltracije koristi dvostruke komunikacijske kanale kako bi osigurao pouzdan prenos podataka. Primarni prijenos podataka odvija se putem infrastrukture Telegram botova, koristeći mogućnosti šifriranih poruka platforme za prikrivanje malicioznih obrazaca prometa. Dodatno, maliciozni softver održava rezervnu komunikaciju sa namjenskim serverima za komandovanje i kontrolu, pružajući redundantnost u slučaju da primarni kanali postanu nedostupni ili kompromitovani. Sigurnosni sistemi kompanije Symantec identifikuju ovu prijetnju putem više potpisa za detekciju, uključujući klasifikacije Android.Reputation.2 i AppRisk:Generisk za prijetnje zasnovane na mobilnim uređajima, dok su web komponente pokrivene sveobuhvatnim sigurnosnim kategorijama u svim proizvodima sa omogućenim WebPulseom.
