Οι εγκληματίες του κυβερνοχώρου έχουν βάλει στο στόχαστρο τους χρήστες Android μέσω ενός καλοφτιαγμένου συστήματος phishing που συγκαλύπτει τις κακόβουλες εφαρμογές ως ευκαιρίες δοκιμής beta για τα εργαλεία διαφήμισης ChatGPT και Meta.
Αυτό που φαίνεται να είναι μια νόμιμη πρόσκληση δοκιμής εφαρμογής αποδεικνύεται ότι είναι μια προσεκτικά σχεδιασμένη προσπάθεια κλοπής των διαπιστευτηρίων του Facebook και κατάληψης του πλήρους ελέγχου των λογαριασμών χρηστών.
Αυτή η καμπάνια αντικατοπτρίζει ένα αυξανόμενο μοτίβο στο οποίο οι παράγοντες απειλών εκμεταλλεύονται την ευρεία εμπιστοσύνη που έχουν οι καθημερινοί άνθρωποι σε γνωστές επωνυμίες τεχνητής νοημοσύνης για να φυτέψουν κακόβουλο λογισμικό απευθείας στις κινητές συσκευές τους.
Η επίθεση ξεκινά με ένα email πρόσκλησης που μοιάζει εντελώς ρουτίνα. Τα μηνύματα φτάνουν από [email protected]μια γνήσια διεύθυνση συνδεδεμένη με την πλατφόρμα Διανομής εφαρμογών Firebase της Google, την οποία οι προγραμματιστές χρησιμοποιούν τακτικά για να μοιράζονται εκδόσεις προέκδοσης εφαρμογών με επιλεγμένους δοκιμαστές.
Δεδομένου ότι το μήνυμα ηλεκτρονικού ταχυδρομείου προέρχεται από μια πραγματική διεύθυνση υπηρεσίας Google, οι περισσότεροι παραλήπτες δεν έχουν κανένα λόγο να αμφισβητήσουν τη νομιμότητά του.
Αυτά τα μηνύματα ζητούν από τους χρήστες να δοκιμάσουν ποιες φαίνεται να είναι εκδόσεις πρώιμης πρόσβασης των εφαρμογών διαφημίσεων ChatGPT και Meta για Android και κάνοντας κλικ οδηγεί στην εγκατάσταση κακόβουλων αρχείων APK εκτός του επίσημου Play Store.
Οι αναλυτές της SpiderLabs στο LevelBlue εντόπισαν αυτήν την καμπάνια στόχευσης Android ως άμεση συνέχεια μιας προηγούμενης επιχείρησης phishing που είχε ακολουθήσει τους χρήστες iOS.
Σε εκείνη την προηγούμενη καμπάνια, οι εισβολείς υποδύθηκαν το ChatGPT και το Google Gemini για να προωθήσουν ψεύτικες εφαρμογές σε συσκευές Apple μέσω του App Store.
Με το Android να βρίσκεται πλέον σταθερά στο στόχαστρο, οι παράγοντες της απειλής φαίνεται να εκτελούν μια συντονισμένη λειτουργία πολλαπλών πλατφορμών που έχει σχεδιαστεί για να ρίξει το ευρύτερο δυνατό δίκτυο στην παγκόσμια βάση χρηστών κινητής τηλεφωνίας.
.webp.jpeg)
Η καμπάνια ήρθε στην προσοχή του κοινού στα τέλη Μαρτίου 2026 και τα ονόματα κακόβουλων πακέτων που συνδέονται με την επιχείρηση περιλαμβάνουν com.OpenAIGPTAds, com.opengpt.adsκαι com.meta.adsmanager.
Αυτά τα αναγνωριστικά πακέτων έχουν κατασκευαστεί για να μοιάζουν με αληθοφανή ονόματα για εργαλεία διαφήμισης που βασίζονται σε τεχνητή νοημοσύνη, καθιστώντας πιο δύσκολο να αμφισβητηθούν χωρίς μια πιο προσεκτική ματιά.
Μόλις εγκατασταθούν, οι εφαρμογές παρουσιάζουν αυτό που φαίνεται να είναι μια πραγματική σελίδα σύνδεσης στο Facebook, προτρέποντας τον χρήστη να εισαγάγει τα διαπιστευτήριά του.
Ο τελικός στόχος είναι η κατάληψη λογαριασμών, δίνοντας στους εισβολείς πρόσβαση σε επιχειρηματικούς και διαφημιστικούς λογαριασμούς Facebook που μπορούν να χρησιμοποιηθούν για μη εξουσιοδοτημένες διαφημιστικές καμπάνιες ή ευρύτερη κλοπή δεδομένων.
Πώς η διανομή εφαρμογών Firebase γίνεται ο αγωγός επίθεσης
Η πιο εντυπωσιακή τεχνικά πτυχή αυτής της καμπάνιας είναι ο τρόπος με τον οποίο μετατρέπει τη Διανομή εφαρμογών Firebase σε μηχανισμό παράδοσης για κακόβουλο λογισμικό.
Το Firebase App Distribution είναι μια υπηρεσία της Google που επιτρέπει στους προγραμματιστές να στέλνουν δοκιμαστικές εκδόσεις των εφαρμογών τους σε μια μικρή ομάδα χρηστών πριν από την πλήρη δημόσια κυκλοφορία.
Τα άτομα που συμμετέχουν τακτικά σε δοκιμές εφαρμογών είναι υποχρεωμένα να εμπιστεύονται αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου πρόσκλησης και οι εισβολείς εκμεταλλεύονται ακριβώς αυτή τη συνήθεια.
Με τη δρομολόγηση της παράδοσης μέσω ενός καθιερωμένου καναλιού Google, οι εισβολείς παρακάμπτουν δύο κόκκινες σημαίες που συνήθως παρακολουθούν προσεκτικοί χρήστες: μια ύποπτη διεύθυνση αποστολέα και έναν ανεπίσημο σύνδεσμο λήψης.
Δεδομένου ότι το email φτάνει από [email protected] Και η εφαρμογή έρχεται μέσω της υποδομής διανομής της Google, ούτε το φίλτρο ανεπιθύμητης αλληλογραφίας του πελάτη ηλεκτρονικού ταχυδρομείου ούτε τα φυσικά ένστικτα του χρήστη είναι πιθανό να προκαλέσουν συναγερμό.
Οι εφαρμογές εγκαθίστανται εκτός του Play Store, παρακάμπτοντας εντελώς τη διαδικασία ελέγχου της Google, η οποία επιτρέπει σε κακόβουλη συμπεριφορά να φτάσει στη συσκευή χωρίς έλεγχο.
Οι ερευνητές του SpiderLabs εντόπισαν περαιτέρω αρκετούς κακόβουλους τομείς ηλεκτρονικού ταχυδρομείου που υποστηρίζουν ενεργά αυτήν την καμπάνια, μεταξύ των οποίων thcsmyxa-nd[.]com, moitasec[.]com, tourmini[.]site, ocngongiare[.]com, disanviet[.]homesκαι itrekker[.]space.
Οι ομάδες ασφαλείας και τα άτομα θα πρέπει να τα αντιμετωπίζουν ως ενεργούς δείκτες συμβιβασμού και να τα αποκλείουν σε επίπεδο δικτύου χωρίς καθυστέρηση.
Οι χρήστες Android θα πρέπει να αντιμετωπίζουν κάθε αυτόκλητη πρόσκληση δοκιμής εφαρμογών με μεγάλη προσοχή, ακόμη και αυτές που φαίνεται να προέρχονται από διευθύνσεις Google. Η λήψη των εφαρμογών θα πρέπει να γίνεται μόνο από το επίσημο Google Play Store.
Οι χρήστες δεν πρέπει ποτέ να εισάγουν διαπιστευτήρια Facebook μέσα σε μια εφαρμογή που δεν έγινε λήψη μέσω ενός αξιόπιστου, επαληθευμένου καναλιού.
Συνιστάται στους διαχειριστές δικτύου και στις ομάδες ασφαλείας να αποκλείουν αμέσως τους εντοπισμένους κακόβουλους τομείς και οι οργανισμοί θα πρέπει να διασφαλίζουν ότι τα μέλη του προσωπικού τους είναι καλά ενημερωμένα σχετικά με αυτήν τη συγκεκριμένη και ολοένα και πιο κοινή μορφή κοινωνική μηχανική.
