Новое мобильное шпионское ПО нацелено на пользователей как iOS, так и Android в рамках кампании по вымогательству, связанной с незаконными веб-сайтами.
Вредоносная программа, получившая название Goontact, может красть такие данные, как контакты, текстовые SMS-сообщения, фотографии и информацию о местоположении с iPhone или Android. В настоящее время он доступен только для китайскоязычных стран, Кореи и Японии.
Согласно исследователям безопасности Lookout, обнаружившим его, «Goontact» нацелен на пользователей, которые посещают незаконные сайты, как правило, те, которые предлагают услуги эскорта. Конечной целью, похоже, является вымогательство или шантаж, связанный с пользователями, посещающими эти сайты или запрашивающими услуги с этих сайтов.
Мошенничество начинается, когда пользователя заманивают на хостинг веб-сайтов. шпионское ПО. Хотя кажется, что они разговаривают с эскортом, жертвы мошенничества на самом деле общаются с операторами «Goontact», которые убеждают их, что им необходимо загрузить приложение на свои устройства iOS или Android.
Хотя шпионское ПО и подобное мошенничество не редкость, о части кампании, нацеленной на пользователей iOS, ранее не сообщалось, сообщает Lookout. Версия Goontact для iOS в основном крадет номер телефона и список контактов пользователя, хотя более новые версии также могут отображать сообщение жертве.
Как и другие вредоносные программы для iOS с боковой загрузкой, операторы Goontact используют корпоративный сертификат разработчика Apple для распространения шпионского ПО за пределами App Store. Все сертификаты, используемые в кампании шпионского ПО, ссылаются на то, что кажется законными компаниями, включая кредитные союзы и железнодорожные корпорации.
Неясно, являются ли эти законные компании были скомпрометированы, или если злоумышленники выдавали себя за их представителей, чтобы получить сертификаты.
В ходе исследования Lookout команда заметила несколько сертификатов. отозван. Как только это произошло, на сайтах распространения появились новые удостоверения, свидетельствующие о том, что у операторов Goontact не было проблем с получением новых сертификатов.
Кто находится в опасности и как защитить вы сами
«Goontact» пока не распространился за пределы Китая, Японии, Кореи, Таиланда и Вьетнама, хотя есть вероятность, что это или аналогичный штамм шпионского ПО может.
Операторы шпионского ПО полагаются на социальную инженерию, чтобы убедить пользователей загружать вредоносные приложения на устройства. Из-за этого, если вы никогда не пытаетесь загружать что-либо, вы не подвергнетесь риску.
Что касается общих рекомендаций, это всегда рекомендуется загружать приложения через официальный магазин приложений только от разработчиков, которым вы доверяете, и поддерживать программное обеспечение на вашем iPhone, iPad или другом устройстве в актуальном состоянии.
Обновление: Apple заявила, что отозвала все корпоративные сертификаты, использованные до сих пор в мошенничестве, за одним исключением, относящимся к разработчик, который был скомпрометирован. Компания заявила, что работает с этим разработчиком, чтобы «безопасно отозвать сертификат к концу недели», и добавила, что «уже предприняла шаги по блокированию всех вредоносных корпоративных профилей, выпущенных для этого сертификата».
