Новое мобильное шпионское ПО нацелено на пользователей как iOS, так и Android в рамках кампании по вымогательству, связанной с незаконными веб-сайтами.
Вредоносная программа, получившая название Goontact, может красть такие данные, как контакты, текстовые SMS-сообщения, фотографии и информацию о местоположении с iPhone или Android. В настоящее время он доступен только для китайскоязычных стран, Кореи и Японии.
По словам исследователей безопасности Lookout, обнаруживших его, Goontact нацелен на пользователей, которые посещают незаконные сайты, обычно те, которые предлагают услуги сопровождения. Конечной целью, похоже, является вымогательство или шантаж, связанный с пользователями, посещающими эти сайты или запрашивающими их услуги.
Мошенничество начинается, когда пользователя заманивают на веб-сайт, на котором размещено шпионское ПО. Хотя кажется, что они разговаривают с сопровождающим, жертвы мошенничества на самом деле общаются с операторами «Goontact», которые убеждают их, что им нужно загрузить приложение на свои устройства iOS или Android.
По словам Lookout, хотя шпионское ПО и подобные виды мошенничества не редкость, о части кампании, нацеленной на пользователей iOS, ранее не сообщалось. Версия Goontact для iOS в основном крадет номер телефона и список контактов пользователя, хотя более новые версии также могут отображать сообщение для жертвы.
Как и другие вредоносные программы для iOS с боковой загрузкой, операторы Goontact используют корпоративный сертификат разработчика Apple для распространения шпионского ПО за пределами App Store. Все сертификаты, используемые в кампании по шпионскому ПО, ссылаются на то, что кажется законными компаниями, включая кредитные союзы и железнодорожные корпорации.
Неясно, были ли эти законные компании скомпрометированы или злоумышленники выдавали себя за их представителей, чтобы получить сертификаты.
В ходе исследования Lookout команда заметила, что несколько сертификатов отозваны. Как только это произошло, на сайтах распространения появились новые идентификаторы, что указывало на то, что у операторов Goontact не было проблем с получением новых сертификатов.
Кто подвергается риску и как защитить себя
«Goontact», похоже, еще не распространился за пределы Китая, Японии, Кореи, Таиланда и Вьетнама, хотя есть вероятность, что он или аналогичный шпионский штамм распространятся.
Операторы шпионского ПО полагаются на социальную инженерию, чтобы убедить пользователей загружать вредоносные приложения на устройства. Из-за этого, если вы никогда не пытаетесь что-либо загружать побочными продуктами, вы не подвергнетесь риску.
Что касается общих рекомендаций, всегда рекомендуется загружать приложения через официальный магазин приложений только от разработчиков, которым вы доверяете, и поддерживать программное обеспечение на вашем iPhone, iPad или другом устройстве в актуальном состоянии.