Турция, Россия, Юго-Восточная Азия и Латинская Америка пострадали от угроз для Android: «Лаборатория Касперского»


Турция, Россия, Юго-Восточная Азия и Латинская Америка пострадали от угроз для Android: «Лаборатория Касперского»

  • 02-04-2024 10:53:00   | Армения  |  Новости науки и технологии

 
Представительство «Лаборатории Касперского» в Армении.  Исследователи «Лаборатории Касперского» проанализировали три новых опасных варианта вредоносного ПО для Android. Вредоносные программы Tambir, Dwphon и Gigabud обладают разнообразными функциями, начиная от загрузки других программ и кражи учетных данных до обхода двухфакторной аутентификации (2FA) и записи экрана, что ставит под угрозу конфиденциальность и безопасность пользователей.
 
Компания сообщает, что Tambir – бэкдор для Android, который атакует пользователей из Турции. Она маскируется под IPTV-плеер, но заявленных функций не выполняет. На самом деле это полноценная шпионская программа, которая, в числе прочего, крадет SMS-сообщения и отслеживает набираемый текст.
 
При запуске приложения на экране появляется запрос на турецком языке на доступ к специальным возможностям. Получив все необходимые разрешения, программа получает адрес командного сервера из открытого источника (например, из Telegram, ICQ или X), после чего значок приложения меняется на значок YouTube.
 
Tambir может выполнять более 30 команд, например включать и выключать функцию кейлоггера, запускать приложения, отправлять SMS-сообщения и набирать номер.
 
В ноябре 2023 года эксперты «Лаборатории Касперского» обнаружили еще один образец вредоносного ПО для Android, который атаковал устройства китайских OEM-производителей. Большинство таких устройств реализуются на российском рынке. Ранее этот же зловред нашли в прошивке детских смарт-часов от израильского производителя, которые распространялись в Европе и странах Ближнего Востока.
 
Dwphon маскируется под системный компонент для обновления приложений и имеет ряд признаков предустановленного вредоносного ПО для Android. В частности, этот зловред собирает персональные данные, а также сведения об устройстве и установленных сторонних приложениях. Точный путь заражения пока не ясен, однако есть подозрение, что вредоносное приложение было встроено в прошивку в результате возможной атаки через цепочку поставок.
 
Gigabud – троянец для удаленного доступа (RAT) под Android, активный как минимум с середины 2022 года, но впервые обнаруженный только в январе 2023-го. Сначала он собирал банковские данные пользователей из Юго-Восточной Азии под видом приложения местной авиакомпании, затем он появился в других странах, в том числе в Перу, и стал выдавать себя за приложение для получения кредита.
 
Существует несколько вариантов троянца, которые маскируются под официальные приложения различных организаций из Перу, Таиланда и других стран. При запуске зловреда на экране появляется форма для входа в учетную запись имитируемого приложения. Полученные учетные данные отправляются на командный сервер вместе с информацией об устройстве. Затем виртуальный ассистент помогает пользователю отправить заявку на получение кредита.
 
После этого приложение просит пользователя включить специальные возможности (если они еще не включены), с помощью которых оно и крадет учетные данные и успешно обходит двухфакторную аутентификацию, имитируя события касания.
 
Подробнее об указанных зловредах – на https://securelist.ru/crimeware-report-android-malware/109200/.
 
 
Представительство компании «Лаборатория Касперского» в Армении
 
 
  -   Новости науки и технологии