Новое шпионское ПО для iOS и Android нацелено на пользователей в кампании вымогательства

Новое мобильное шпионское ПО нацелено на пользователей как iOS, так и Android в рамках кампании по вымогательству, связанной с незаконными веб-сайтами.

Вредоносная программа, получившая название Goontact, может красть такие данные, как контакты, текстовые SMS-сообщения, фотографии и информацию о местоположении с iPhone или Android. В настоящее время он доступен только для китайскоязычных стран, Кореи и Японии.

По словам исследователей безопасности Lookout, обнаруживших его, Goontact нацелен на пользователей, которые посещают незаконные сайты, обычно те, которые предлагают услуги сопровождения. Конечной целью, похоже, является вымогательство или шантаж, связанный с пользователями, посещающими эти сайты или запрашивающими их услуги.

Мошенничество начинается, когда пользователя заманивают на веб-сайт, на котором размещено шпионское ПО. Хотя кажется, что они разговаривают с сопровождающим, жертвы мошенничества на самом деле общаются с операторами «Goontact», которые убеждают их, что им нужно загрузить приложение на свои устройства iOS или Android.

По словам Lookout, хотя шпионское ПО и подобные виды мошенничества не редкость, о части кампании, нацеленной на пользователей iOS, ранее не сообщалось. Версия Goontact для iOS в основном крадет номер телефона и список контактов пользователя, хотя более новые версии также могут отображать сообщение для жертвы.

Как и другие вредоносные программы для iOS с боковой загрузкой, операторы Goontact используют корпоративный сертификат разработчика Apple для распространения шпионского ПО за пределами App Store. Все сертификаты, используемые в кампании по шпионскому ПО, ссылаются на то, что кажется законными компаниями, включая кредитные союзы и железнодорожные корпорации.

Неясно, были ли эти законные компании скомпрометированы или злоумышленники выдавали себя за их представителей, чтобы получить сертификаты.

В ходе исследования Lookout команда заметила, что несколько сертификатов отозваны. Как только это произошло, на сайтах распространения появились новые идентификаторы, что указывало на то, что у операторов Goontact не было проблем с получением новых сертификатов.

Кто подвергается риску и как защитить себя

«Goontact», похоже, еще не распространился за пределы Китая, Японии, Кореи, Таиланда и Вьетнама, хотя есть вероятность, что он или аналогичный шпионский штамм распространятся.

Операторы шпионского ПО полагаются на социальную инженерию, чтобы убедить пользователей загружать вредоносные приложения на устройства. Из-за этого, если вы никогда не пытаетесь что-либо загружать побочными продуктами, вы не подвергнетесь риску.

Что касается общих рекомендаций, всегда рекомендуется загружать приложения через официальный магазин приложений только от разработчиков, которым вы доверяете, и поддерживать программное обеспечение на вашем iPhone, iPad или другом устройстве в актуальном состоянии.