PlainGnome Android trojan er en tyvetrojaner som ikke bare er i stand til å stjele informasjon, men som også har spioneringsmuligheter. Skadevaren antas å være drevet av en russisk statsstøttet trusselaktør kjent som Gamaredon. Nærmere bestemt er det assosiert med Den russiske føderasjonens føderale sikkerhetstjeneste (FSB). Målene er russisktalende brukere i tidligere Sovjetstater, sannsynligvis høyprofilerte individer.
PlainGnome Android trojan er en svært alvorlig infeksjon med funksjoner som gjør at den i hovedsak kan spionere på brukere. Skadevaren ser ut til å være rettet mot russisktalende brukere i tidligere Sovjet-stater som Kasakhstan, Usbekistan og Tadsjikistan. Det er verdt å understreke at de ondsinnede aktørene som driver denne skadelige programvaren er russiske statlige aktører, spesielt assosiert med FSB.
Skadevaren ser ut til å bli spredt via falske bildegalleriapper. Når brukernes enheter blir infisert, må skadelig programvare først lure brukere til å gi «REQUEST_INSTALL_PACKAGES»-tillatelsen. Hvis tillatelsen gis, viser skadelig programvare et nytt vindu med en knapp som sier «katalog» i Russland. Hvis brukere klikker på knappen, kan skadelig programvare starte fullt ut.
Skadevarens utvalg av funksjoner er veldig alarmerende. Det kan stjele mye informasjon, inkludert enhetsinformasjon, mobilleverandørdetaljer, kontakter, anropslogger (telefonnumre, kontaktnavn, innkommende/utgående anrop, dato/klokkeslett og varighet), varsler, mottatt/sendt SMS (dato/klokkeslett, mottakere, SMS-innhold), plassering og nettleserhistorikk. Hvis det ikke er nok, tar skadelig programvare også opp omkringliggende lyd og kan ta bilder. Dette betyr at de PlainGnome Android trojan i hovedsak kan spionere på brukere og ta opp samtaler. Interessant nok kan skadelig programvare slutte å ta opp lyd når enheten brukes for å hindre brukere i å legge merke til mikrofonlogoen som vises i statuslinjen når den brukes.
Infeksjoner som de PlainGnome Android trojan er svært alvorlige, spesielt fordi de drives av russiske statlige aktører.
Hvordan distribueres det PlainGnome Android trojan ?
Som all Android-skadelig programvare kan den PlainGnome Android trojan distribueres på flere forskjellige måter. For øyeblikket ser det imidlertid ut til å bli spredt via villedende bildegalleriapper. Disse ondsinnede appene kan finnes i forskjellige tredjeparts appbutikker og tvilsomme nedlastingssider, forkledd som legitime. Dette er vanligvis metoden som brukes når ondsinnede brukere retter seg mot brukere i massiv skala.
Når de retter seg mot bestemte individer, bruker ondsinnede aktører ofte phishing og sosial manipulering, for eksempel e-post og meldinger. Hvis de har visse personlige opplysninger om målene sine, kan disse phishing- og sosialingeniørforsøkene være svært sofistikerte og virke svært troverdige, noe som øker sjansene for at målene samhandler med dem. Brukere kan komme over Android-skadelig programvare når de deltar i piratkopieringsaktiviteter, spesielt når de laster ned sprekker eller opphavsrettsbeskyttet innhold. Skadelig programvare finnes ofte på forskjellige tredjeparts appbutikker og upålitelige nedlastingssider også.
Slik beskytter du deg mot skadelig programvare for Android
Brukere som er mer forsiktige når de er på nettet, har en tendens til å infisere enhetene sine betydelig sjeldnere. Det er en god idé å utvikle gode surfevaner, hvorav noen inkluderer:
Undersøk apper før nedlasting
Det er veldig viktig å undersøke apper før du installerer dem. Brukere bør se nærmere på utvikleren, sjekke anmeldelsene og nøye gjennomgå tillatelsene appen ber om. Brukere bør aldri laste ned apper fra noen kilder uten å dobbeltsjekke all informasjon.
Bruke legitime butikker/plattformer for å laste ned apper
Vi anbefaler på det sterkeste at brukere bruker offisielle appbutikker, for eksempel Google Play Store for å laste ned apper. Tredjeparts appbutikker mangler ofte skikkelig sikkerhet, noe som gjør det veldig enkelt for ondsinnede brukere å laste opp ondsinnede apper forkledd som legitime. Google Play Store er det sikreste alternativet for nedlasting av apper på grunn av sikkerhetstiltakene designet for å forhindre skadelig programvare. Selv om noe skadelig programvare av og til kan slippe gjennom Googles forsvar, er dette ganske sjeldent sammenlignet med risikoen forbundet med tredjeparts appbutikker.
Gjennomgå alltid forespurte tillatelser nøye
En god måte å unngå Android-skadelig programvare på er å grundig evaluere tillatelsene som apper ber om før du gir dem. Når en app er installert, ber den vanligvis om spesifikke tillatelser for å fungere skikkelig. Det er imidlertid veldig viktig at brukere alltid er veldig forsiktige når de gir disse tillatelsene. For eksempel, hvis en bruker laster ned et spill som ber om tillatelse til å få tilgang til meldingene deres eller ringe, bør dette være et umiddelbart rødt flagg.
Holde enheten oppdatert
Det er avgjørende å holde alle enheter oppdatert, siden oppdateringer adresserer kjente sårbarheter som kan utnyttes av ondsinnede aktører. Det er viktig å installere disse oppdateringene så snart de blir tilgjengelige for å beskytte enheter.
Ikke klikke på ukjente lenker eller åpne uønskede e-postvedlegg
Dette er relevant for alle brukere, uavhengig av hvilken type enhet de bruker. Det er viktig å utvise forsiktighet med uønskede SMS-meldinger, e-poster eller annen kommunikasjon som inneholder lenker eller vedlegg. Husk at legitime offentlige etater (som politi og skatteetater), banker og lignende institusjoner aldri sender meldinger eller e-poster med klikkbare lenker. Det anbefales å unngå å klikke på ukjente lenker og å avstå fra å åpne uønskede e-postvedlegg uten først å bekrefte at de er trygge. Dette kan gjøres ved å skanne dem med et antivirusprogram eller bruke VirusTotal .