По Android-смартфонам начал распространяться троян RedHook, опустошающий банковские счета жертвы

Читать в полной версии

Специалисты компании Group-IB, работающей в сфере информационной безопасности, сообщили о выявлении новой версии трояна RedHook, который используется для проведения атак на Android-устройства. Вредонос способен получить полный контроль над устройством жертвы для кражи конфиденциальной информации.

Источник изображения: androidauthority.com

Для распространения RedHook злоумышленники используют различные методы социальной инженерии, убеждая потенциальных жертв установить вредонос, перейдя по ссылке, переданной в текстовом сообщении, мессенджере, по электронной почте или во время телефонного звонка. Они могут выдавать себя за сотрудников службы поддержки какой-либо компании или представителей известных организаций, тем самым стараясь вызвать доверие жертвы.

В процессе общения злоумышленник убеждает жертву установить APK-файл, скачать который предлагается с фейкового сайта, дизайн которого во многом схож с Google Play. После установки вредонос запрашивает определённые разрешения под предлогом обеспечения стабильной работы приложения. Используя эти разрешения, RedHook скрытно активирует инструмент отладки Wireless Android Debug Bridge, тем самым получая уровень доступа с привилегиями оболочки с идентификатором UID 2000. Перечисленные манипуляции позволяют трояну взять устройство жертвы под полный контроль для последующей передачи злоумышленнику различных данных, включая происходящее на экране устройства, данные о нажатиях клавиш, конфиденциальную информацию и др.

Впервые RedHook был обнаружен исследователями из Cyble в прошлом году. Теперь же удалось выявить доработанную версию вредоноса, которая использует более изощрённые методы, чтобы максимально затруднить своё удаление с устройства. К примеру, троян использует механизм WakeLock, чтобы вынуждать систему постоянно держать вредонос в запущенном состоянии. В дополнение к этому троян способен оставлять экран устройства включённым, активируя всего один пиксель, практически незаметный для человеческого глаза. За счёт этого он убеждает Android в том, что является важным процессом, который нельзя останавливать. Более того, новый RedHook использует систему, которую исследователи назвали «механизмом воскрешения двух служб с перекрёстными процессами». Проще говоря, это две службы, которые способны восстанавливать друг друга, когда одна из них перестаёт быть активной. Это ещё больше затрудняет процесс обезвреживания трояна.

По данным источника, изначально RedHook был нацелен на проведение атак на частных лиц во Вьетнаме. Позднее операторы вредоноса расширили масштаб своих действий, распространив их на Индонезию. Чтобы не стать жертвой трояна, пользователям рекомендуется не скачивать установочные файлы из неофициальных магазинов, не переходить по подозрительным ссылкам, а также в целом проявлять бдительность и осторожность.