Мобильные атаки по национальному признаку: кто охотится на этнические меньшинства?
Тибетцы, уйгуры и тайваньцы стали мишенями продолжительной вредоносной кампании, организованной хакерской группой под кодовым названием EvilBamboo, целью которой является сбор чувствительной информации.
Исследователи безопасности из компании Volexity сообщили , что атакующие создали поддельные тибетские сайты и профили в социальных сетях, вероятно, для использования браузерных угроз против целевых пользователей. Путём частичного подражания существующим популярным сообществам, злоумышленники создали сообщества на популярных платформах, таких как Telegram, чтобы быстрее распространить своё вредоносное ПО.
Ранее известная под именем Evil Eye, группа EvilBamboo связана с несколькими волнами атак с 2019 года. Хакеры часто используют атаки через заражённые сайты для доставки шпионского ПО, нацеленного на устройства Android и iOS.
Атаки, направленные против мобильной операционной системы Apple, использовали для распространения шпионского ПО под названием Insomnia уязвимость нулевого дня в движке WebKit, исправленную Apple в начале 2019 года. В марте 2021 года Meta * заявила, что обнаружила злоумышленника, злоупотребляющего её платформами для распространения вредоносных веб-сайтов, на которых размещено данное вредоносное ПО.
Группа EvilBamboo также известна использованием Android-вредоносов, таких как ActionSpy и PluginPhantom, которые маскируются под словари, клавиатуры и прочие приложения, доступные в сторонних магазинах приложений.
Последние данные от Volexity связывают EvilBamboo с тремя новыми инструментами для шпионажа на Android: BADBAZAAR, BADSIGNAL и BADSOLAR. Первый из них был документирован компанией Lookout в ноябре 2022 года.
В цепочках атак, используемых для распространения вредоносного ПО, применяются форумы для обмена APK-файлами, поддельные сайты, рекламирующие Signal, Telegram и WhatsApp, а также набор фальшивых профилей в социальных сетях.
«Эти кампании в основном зависят от того, чтобы пользователи устанавливали «заражённые» приложения. Данная тактика подчёркивает важность установки приложений только от проверенных авторов», — заявили исследователи.
Основным аспектом действий EvilBamboo является создание поддельных веб-сайтов и персоналий, максимально приближенных конкретным группам целей, что позволяет усыплять бдительность последних и проводить максимально деструктивные атаки.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Наш канал — питательная среда для вашего интеллекта