Теги → троян
Быстрый переход

Обнаружена массовая кибератака через уязвимость 2013 года в системе проверки цифровых подписей Windows

В начале ноября специализирующаяся на кибербезопасности компания Check Point Research обнаружила массовую атаку трояна Zloader, который похищает данные для доступа к интернет-банкам и персональные данные пользователей. По состоянию на 2 января зловредом были заражены машины, связанные с 2170 IP-адресами. Атака примечательна тем, что в ней используется старая уязвимость.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

Троян Zloader известен довольно давно. Например, в 2020 году он распространялся через ресурсы для взрослых и даже рекламу в Google. Новая массовая атака, говорят эксперты, уникальна тем, что в её основе лежит система верификации ПО по цифровым подписям: полезная нагрузка вредоноса внедряется в подписанную системную библиотеку, которая не проверяется средствами защиты ОС.

Заражение производится через систему удалённого доступа и управления (RMM) Atera — демонстрационная версия этого стандартного корпоративного инструмента в модифицированном варианте устанавливается самой жертвой как файл java.msi, в котором в качестве администраторского указан подконтрольный злоумышленникам адрес электронной почты. Далее оператор загружает на компьютер жертвы два bat-файла, используя функцию запуска скриптов. Первый скрипт модифицирует настройки Windows Defender, добавляя нужные исключения, а второй обеспечивает доставку данных со сторонних ресурсов.

Далее запускается системный файл mshta.exe (обычно используется для запуска файлов HTML) с библиотекой appContast.dll в качестве параметра. Эта библиотека имеет подпись, но при этом содержит вредоносный код, благодаря которому загружается и запускается троян Zloader. Ошибку с проверкой сертификатов Microsoft исправила ещё в 2013 году, однако впоследствии в 2014 году компания заявила, что соответствующее обновление может оказать влияние на существующее ПО, и оно стало доступно для установки только по желанию пользователя. По данным экспертов Check Point Research, за новой серией атак стоит хакерская группировка Malsmoke: её участникам свойственно выдавать вредоносное ПО за Java-плагины, а связанный с атакой URL-адрес уже использовался группировкой в 2020 году.

В моде WhatsApp обнаружен троян, способный загружать вредоносов, показывать рекламу и оформлять платные подписки

Специалисты «Лаборатории Касперского» обнаружили трояна Triada в популярном моде мессенджера WhatsApp под названием FMWhatsapp версии 16.80.0. Он способен осуществлять загрузку и запуск других вредоносных модулей, демонстрировать рекламу, а также оформлять платные подписки без ведома пользователя.

 Изображение: Лаборатория Касперского

Изображение: Лаборатория Касперского

Пользователи WhatsApp нередко ищут способы расширения функциональных возможностей мессенджера. Одним из вариантов сделать это является установка модифицированной версии клиента WhatsApp, которая имеет какие-либо дополнительные функции. Разработчики такого софта нередко встраивают в свои продукты рекламные модули для монетизации своей деятельности. Однако в случае с FMWhatsapp речь идёт о лазейке, которую разработчики мода могли получить от злоумышленников под видом рекламного модуля.

«Мод, о котором идёт речь, выглядит безобидным для пользователей, ведь он действительно делает то, что заявлено, — предоставляет дополнительные функции. Но в него были встроены не только рекламные модули, но и троянская программа. Вот почему мы рекомендуем устанавливать приложения только из официальных магазинов. Их функциональность может быть менее широкой, зато они не приведут с собой на устройство множество вредоносных файлов», — считает эксперт по безопасности «Лаборатории Касперского» Игорь Головин.

В сообщении отмечается, что за 2021 год «Лаборатория Касперского» зафиксировала свыше 33 тысяч атак, которые так или иначе связаны с мессенджером WhatsApp. Этот показатель включает в себя атаки, проведённые под видом самого мессенджера, его модифицированных версий или обновлений для приложения.

Сервисы сокращения ссылок стали разносчиками вирусов

Российские пользователи мобильных устройств оказались одной из наиболее многочисленных групп, пострадавших от вредоносного ПО под названием FakeAdBlocker. Ключевым каналом распространения вируса оказались сервисы сокращения URL-адресов.

 Источник: freepik.com

Источник: freepik.com

Сервисы сокращения ссылок оказались удобными не только для добросовестных пользователей интернета, но и для киберпреступников, которые используют возможности подобных служб, чтобы закамуфлировать вредоносное ПО. Помимо известных по всему миру bit.ly, ow.ly и to.click собственные решения есть и у отечественных интернет-гигантов, в том числе у «Яндекса» и ВКонтакте. Однако, как отмечает разработчик антивирусных решений ESET, в последнее время наблюдается резкая активизация мошеннических действий с использованием подобных сервисов, наиболее популярным вредоносным продуктом стал вирус FakeAdBlocker.

Сгенерировав короткую ссылку, ведущую на скачивание этого зловреда, мошенники распространяют её, предлагая установить ПО, предназначенное для прямо противоположных целей — для защиты пользователей. В частности, это блокировщики рекламы, как видно из названия, сервисы VPN или антивирусные продукты. Однако при переходе по такой сокращённой ссылке на смартфон доверчивого пользователя устанавливается FakeAdBlocker. За первую половину текущего года, уточняют в ESET, было зафиксировано 150 тыс. установок этого вредоносного ПО на Android-смартфоны пользователей по всему миру, доля России в этом числе составила 7,2 %, и это серьёзный показатель.

Хотя FakeAdBlocker был впервые зарегистрирован ещё два года назад, пик его распространения выпал на июнь 2021 года. Методы действия этого ПО весьма неприятны: оно устанавливает на смартфон трояны, перехватывающие данные из банковских приложений, добавляет в календарь события со ссылками на другие вирусные программы, а также самопроизвольно выводит на экран устройства рекламные баннеры, подчиняясь командам извне.

Проблема в том, отмечают специалисты ESET, что сервисы сокращения ссылок не несут никакой ответственности за фактический контент, который становится доступным по этим ссылкам, а значит, и привлечь их к ответственности невозможно. Тем более, что некоторые из таких служб демонстрируют ответственный подход. Так, представители ВКонтакте (владеет сервисом vk.cc) заявили, что проводят регулярный мониторинг и при необходимости осуществляют блокировку вредоносного контента.

Службы сокращения ссылок изначально стали набирать популярность вслед за Twitter, где число символов в одном посте ранее было ограничено 140 символами, однако в 2016 году в этом ограничении перестали учитываться URL-адреса. В настоящий момент этими сервисами пользуются преимущественно в рекламе и SMM, а также в тех случаях, когда возникает потребность скрывать UTM-метки, позволяющие отслеживать источники трафика.

Новый Android-троян маскируется под приложение для доставки системных обновлений

Среди пользователей устройств на базе Android начало распространяться новое вредоносное программное обеспечение. Оно маскируется под системное обновление и способно получить полный контроль над устройством с возможностью кражи данных. Об этом сообщили специалисты компании Zimperium, работающей в сфере информационной безопасности.

Речь идёт об утилите System Update, которая якобы предназначена для доставки обновлений на устройство. Согласно имеющимся данным, она распространяется через сторонние источники и не была прежде замечена в официальном магазине цифрового контента Play Маркет. Источник говорит о том, что после установки приложения оно скрывает свою активность и начинает незаметно пересылать различные данные на подконтрольные злоумышленникам серверы.

Вредоносное приложение может красть сообщения пользователей, контакты, собирать информацию об устройстве, осуществлять запись звонков и происходящего поблизости от устройства с помощью микрофона, делать фотографии и др. Кроме того, вредонос отслеживает местоположение устройства, перехватывает данные из буфера обмена и осуществляет сканирование на предмет поиска документов. Для маскировки своей активности приложение может снижать объём потребляемого интернет-трафика, пересылая на серверы злоумышленников не полноценные изображения, а только их эскизы.

Генеральный директор компании Zimperium Шридхар Миттал (Shridhar Mittal) считает, что обнаруженный вредонос, скорее всего, является частью целевой атаки. Однако исследователям не удалось установить, кто является разработчиком данного ПО и против кого оно использовалось. «Я думаю, что на создание этого приложения было потрачено много времени и усилий. Мы считаем, что существуют и другие подобные приложения, и изо всех сил стараемся обнаружить их как можно быстрее», — прокомментировал данный вопрос Миттал.

Злоумышленники маскируют троян под несуществующую Android-версию Clubhouse

Исследователь Лукас Стефанко (Lukas Stefanko) из компании ESET, работающей в сфере информационной безопасности, обнаружил, что злоумышленники используют популярность сервиса голосовых чатов Clubhouse с целью кражи данных пользователей. Для этого они распространяют вредоносную программу, выдавая её за официальный Android-клиент Clubhouse. Однако никакого официального клиента для Android на данный момент не существует.

Для распространения вредоноса злоумышленники используют веб-сайт, который является точной копией оригинальной страницы Clubhouse. Сам же троян идентифицируется продуктами ESET как Android/TrojanDropper.Agent.HLR. Он предназначен для кражи учётных данных пользователей 458 онлайн-сервисов, в том числе Twitter, WhatsApp, Facebook*, Amazon, eBay, Coinbase, Cash App и др.

«Сайт выглядит как настоящий. Откровенно говоря, это хорошо оформленная копия легитимного веб-сайта Clubhouse. Но как только пользователь нажимает «Получить в Google Play», приложение автоматически загружается на устройство. В отличие от этого, легитимные веб-сайты всегда перенаправляют пользователей в Google Play, а не напрямую загружают APK-файл приложения», — сказал Стефанко.

Специалисты говорят о том, что избежать проблем с упомянутым вредоносом можно, если внимательно изучить сайт, через который он распространяется. На нём используется небезопасное соединение по http вместо https. Кроме того, сайт использует домен «.mobi», тогда как легитимный сайт Clubhouse работает в домене «.com». Не стоит забывать и о том, что разработчики популярного сервиса хоть и планируют выпустить Android-версию клиента Clubhouse, но пока этого не сделали. На данный момент голосовые чаты в Clubhouse доступны только на устройствах, работающих под управлением iOS.


* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

В Play Маркете обнаружены десять приложений, использовавшихся для распространения банковского трояна

Исследователи из компании Check Point Research, работающей в сфере информационной безопасности, обнаружили в магазине цифрового контента Play Маркет десять Android-приложений, содержащих троян-дроппер Clast82, используемый для распространения банковского трояна AlienBot и вредоноса mRAT. Согласно имеющимся данным, все выявленные вредоносные приложения уже удалены с платформы Google.

Источник говорит о том, что дроппер маскировался злоумышленниками под легитимные продукты для программной платформы Android. Все проблемные приложения представляли собой служебные утилиты, такие как Cake VPN, Pacific VPN, BeatPlayer, QR/Barcode Scanner MAX, QRecorder и др. Функциональность утилит была взята злоумышленниками из легитимных Android-приложений с открытым исходным кодом.

Сообщается о том, что подозрительная активность упомянутых приложений не обнаруживалась стандартными средствами проверки Google, для удалённого управления вредоносами использовался облачный сервис Firebase, а загрузка банковских троянов осуществлялась из репозиториев на GitHub.

Также отмечается, что дроппер мог самостоятельно определять, когда следует активировать вредоносные функции, а когда этого делать не нужно, чтобы не быть обнаруженным. Исследователи отмечают, что обычно вредоносные функции были деактивированы пока приложение проходило проверки, а после публикации в Play Маркет они автоматически включались. Что касается загружаемых вредоносов, то mRAT использовался злоумышленниками для получения удалённого доступа к заражённым устройствам, тогда как AlienBot позволял осуществить внедрение вредоносного кода в установленные на устройствах жертв легитимные банковские приложения.

Банковский Android-троян Cerberus продадут с аукциона

Хакерская группировка, стоящая за банковским трояном Cerberus, ориентированным на устройства под управлением Android, намерена продать весь проект целиком, устроив своеобразный аукцион. Начальная стоимость лота, включающего в себя всё, от исходного кода и списка клиентов до руководства по установке и скриптов для совместной работы компонентов, оценена в $50 тыс. При этом, хакеры готовы отдать весь проект без торгов за $100 тыс.

Около года группировка, стоящая за вредоносом Cerberus, рекламировала своё творение и сдавала бота в аренду за $12 тыс. в год. Предлагалось также приобретение лицензии на более короткие временные промежутки. Согласно сообщению, которое опубликовал продавец трояна на одном из подпольных форумов, в настоящее время Cerberus приносит $10 тыс. ежемесячно. Причина продажи объясняется тем, что команда Cerberus распалась, и у её членов больше нет времени на круглосуточную поддержку трояна. Поэтому было принято решения избавиться от всего проекта разом, в том числе и от действующей клиентской базы, их контактов и списка потенциальных покупателей.

По мнению некоторых специалистов в сфере кибербезопасности, цена в $100 тыс. за вредоносное ПО, такое как Cerberus, скорее всего, привлечёт внимание искушённых хакеров, которые способны не только поддерживать работу вредоноса, но и продолжить его дальнейшее развитие.

Вредоносное ПО Cerberus имеет богатый набор функций, а одна из его особенностей заключается в способности определять, работает ли он на реальном устройстве или помещён в песочницу. Среди его функций стоит выделить способность создавать поддельные банковские уведомления, побуждающие жертву ввести данные для входа в систему, а также функцию перехвата одноразовых кодов двухфакторной аутентификации.

Новый опасный вредонос BlackRock нацелился на пользователей Android-устройств

Специалисты компании ThreatFabric, работающей в сфере информационной безопасности, сообщили об обнаружении нового опасного вредоносного ПО, которое ставит под угрозу сотни популярных приложений для мобильной платформы Android. Речь идёт о вредоносе BlackRock, который может использоваться для кражи учётных данных и платёжной информации.

Согласно имеющимся данным, ПО BlackRock относится к классу банковских троянов, но может использоваться для кражи конфиденциальных данных из множества популярных приложений, в том числе PayPal, Gmail, Uber, eBay, Netflix, Amazon, Telegram, WhatsApp, Skype, Twitter, Facebook*, Instagram*, TikTok, YouTube, Tinder, Pinterest и др. В общей сложности вредонос ставит под угрозу 337 популярных приложений для мобильной платформы Android.

В ходе исследования BlackRock специалисты установили, что в его основе лежит код банковского трояна Xerxes, являющегося разновидностью вредоноса LokiBot. Исходный код ПО Xerxes был обнародован его автором в середине прошлого года, поэтому не удивительно, что кто-то решил сделать на его основе новый троян.

Для распространения BlackRock злоумышленники маскируют его под легитимный пакет обновлений Google Update. После попадания на устройство троян запрашивает разрешение на повышение уровня прав в системе, получив которые, он может принимать удалённые команды от злоумышленников, работая без дальнейшего взаимодействия с жертвой. И хотя в первую очередь троян нацелен на кражу платёжных данных, он может использоваться для сбора разного рода конфиденциальной информации.

Для защиты данных от BlackRock совсем необязательно удалять популярные приложения со своего смартфона. Достаточно внимательно следить за тем, что вы загружаете на устройство. Рассматриваемый вредонос не был замечен в официальном магазине Play Маркет, а значит, распространяется через сторонние ресурсы. Таким образом, загрузка контента из официальных источников поможет обезопасить устройство от негативного воздействия трояна BlackRock.


* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

Банковский троян Cerberus научился красть коды, генерируемые Google Authenticator при двухфакторной аутентификации

Специалисты компании ThreatFabric, работающей в сфере кибербезопасности мобильных устройств, сообщают о том, что новая версия банковского Android-трояна Cerberus может похищать одноразовые пароли, генерируемые приложением Google Authenticator.

«Используя злоупотребления привилегиями доступа, троян теперь может украсть генерируемые пароли из приложения Google Authenticator. Когда приложение запущено, троян может получить доступ к содержимому интерфейса для последующей его отправки на сторонний сервер. Мы считаем, что этот вариант Cerberus всё ещё находится на этапе тестирования, но его конечный вариант может быть создан в ближайшее время», — говорится в сообщении ThreatFabric.

Приложение Google Authenticator является популярным средством защиты учётных записей с помощью двухфакторной аутентификации, поэтому новая версия вредоносной программы может представлять угрозу для большого количества пользователей устройств на базе Android. Запущенное в 2010 году приложение генерирует уникальные одноразовые пароли длиной от шести до восьми символов, с помощью которых пользователи проходят авторизацию в разных онлайн-аккаунтах.

Google запустила приложение Authenticator в качестве альтернативы одноразовым паролям на основе SMS-сообщений. Поскольку одноразовые пароли генерируются на пользовательском смартфоне и не передаются через незащищённые мобильные сети, учётные записи от онлайн-аккаунтов, в которых пользователи авторизуются с помощью решения Google, считаются более защищёнными по сравнению с теми, где процесс аутентификации проходит с помощью SMS-сообщений.

Специалисты Dr. Web обнаружили Android-троян, который почти невозможно удалить с устройства

В конце прошлого года исследователи компании Dr. Web, занимающейся разработкой решений для обеспечения информационной безопасности, обнаружили новые образцы семейства вредоносных программ Android.Xiny, первые представители которого были замечены ещё в 2015 году.

Основная особенность новой версии вредоносной программы заключается в способности устанавливать атрибут «неизменяемый» на файлы, что делает их удаление весьма непростым процессом. Попадая на устройство жертвы, троян присваивает упомянутый атрибут APK-файлу установленного приложения. Когда пользователь удаляет это приложение, то с устройства исчезают данные программы, но не установочный файл. После перезагрузки гаджета приложение вновь появляется на устройстве, поскольку происходила его автоматическая установка.

Было установлено, что Android.Xiny маскируется под безвредные приложения, доступные в Play Store и на сторонних платформах. Присутствуя на пользовательском смартфоне, троян устанавливает десятки приложений, удалить которые не так просто. Вероятно, операторы вредоноса зарабатывают на разработчиках мобильного ПО, которые стремятся искусственно завысить число пользователей.

Несмотря на то, что троян был впервые обнаружен четыре года назад, он всё ещё представляет существенную опасность для некоторых пользователей гаджетов на базе Android. Отмечается, что вредоносное ПО предназначено для устройств, работающих под управлением Android 5.1 и более старых версий. Обладатели устройств с более современными версиями ОС не должны опасаться Android.Xiny. Приведённая исследователями статистика говорит о том, что в настоящее время по всему миру порядка 25 % пользователей владеют гаджетами с Android 5.1 или более ранними версиями платформы. Это означает, что вредонос нацелен на широкую аудиторию пользователей Android, в которую входит до 500 млн человек по всему миру.

Россиян атакует новый Android-троян, создающий поддельные отзывы о приложениях

Специалисты «Лаборатории Касперского» обнаружили новый Android-троян, используемый злоумышленниками для распространения многочисленных рекламных объявлений, формирования поддельных отзывов, а также установки приложений на устройства пользователей без их ведома.

В сообщении говорится о том, что за декабрь 2019 года троян, который был назван Shopper, преимущественно атаковал пользователей Android-устройств из России. Доля россиян, столкнувшихся с данным вредоносом, составила 31 %. Кроме того, Shopper активно использовался в Бразилии и Индии (в 18 % и 13 % случаев соответственно).

В процессе своей работы вредоносное ПО использует службу поддержки специальных возможностей Google Accessibility Service, которая помогает людям с ограниченными возможностями взаимодействовать с приложениями. Сообщается, что вредоносная программа может осуществлять перехват данных, нажатие кнопок, а также имитировать пользовательские жесты.

Предполагается, что Shopper попадает на пользовательские устройства из сторонних магазинов приложений и мошеннических рекламных объявлений. Троян маскируется под системное ПО, в том числе решения для очистки смартфона и повышения производительности. После попадания на устройство жертвы осуществляется сбор данных о системе, которые передаются на серверы, находящиеся под контролем злоумышленников. Затем вредонос получает удалённые команды и действует по разным сценариям.

К примеру, аккаунты пользователя в Google и Facebook* могут использоваться для регистрации в приложениях для шопинга, а также создания поддельных отзывов на разные продукты. Вредонос может скачивать и устанавливать без ведома пользователя сторонние приложения, изменяя ярлыки уже имеющегося в устройстве ПО на рекламные страницы.

Сообщается, что в настоящее время Shopper ограничивается распространением рекламного контента и созданием поддельных отзывов. Однако нельзя исключать того, что в будущем создатели вредоноса продолжат его развитие, добавляя новые функции.


* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

Похитившие $100 млн с помощью банковского трояна GozNym хакеры предстали перед судом

Злоумышленники, которые с помощью гибридного банковского трояна GozNym похитили более $100 млн, получили тюремные сроки. Гражданин Болгарии Красимир Николов (Krasimir Nikolov) был приговорён судом США к 39 месяцам лишения свободы. Организаторы группировки Александр Конолов и Марат Казанджян, являющиеся гражданами Грузии, также были привлечены к ответственности правоохранительными органами. Министерство юстиции США не уточнило, какое именно наказание они понесут.

Созданная преступниками сеть функционировала несколько лет. Используя гибридное вредоносное ПО GozNym, хакеры сумели заразить свыше 41 000 компьютеров, что позволило завладеть банковскими данными большого количества компаний и частных лиц. По оценкам американских правоохранительных органов, в общей сложности злоумышленники похитили более $100 млн. Преступная схема была нарушена в 2016 году, когда в Болгарии был задержан Красимир Николов, которого позднее экстрадировали в США. В итоге, он был приговорён к 39 месяцам лишения свободы, которые уже прошли с момента его задержания. Это означает, что в ближайшее время он будет выдворен за пределы США. Двух других участников группировки задержали в мае этого года после того, как было проведено тщательно расследование.

Представитель ФБР сказал о том, что данное дело наглядно показало серьёзность намерений ведомства, которое не позволит злоумышленникам действовать безнаказанно в Интернете. Операция по ликвидации киберпреступной группировки проводилась совместными усилиями спецслужб нескольких стран.

Клиентам российских банков угрожает новый зловред, ворующий деньги

Российские банки столкнулись с новым вирусом, который способен воровать средства со счетов клиентов. О зловреде, как сообщает РБК, рассказали специалисты компании Group-IB.

Троян способен инфицировать смартфоны под управлением операционной системы Android. Вредоносная программа может автоматически переводить деньги со счёта жертвы через банковское мобильное приложение на счёт злоумышленников.

Эксперты говорят, что функциональные возможности новых троянов под Android практически приблизились к троянам-банкерам. Зловреды нового типа ориентированы на максимальную капитализацию бизнеса своих операторов.

Отмечается, что как минимум два крупных российских банка столкнулись с угрозой. Появление таких зловредов также подтверждает «Лаборатория Касперского».

Впрочем, пока случаи инфицирования вирусами нового типа довольно редки, но вероятность начала эпидемии исключать нельзя.

По оценкам Group-IB, за год — с июля 2018-го по июнь 2019-го — злоумышленники при помощи вредоносных программ для Android смогли украсть 110 млн рублей. Каждый день осуществляется в среднем 40 успешных атак, при этом сумма одного хищения составляет приблизительно 11 тысяч рублей.

Новый банковский Android-троян обнаружен исследователями

Пользователи устройств на базе Android стали жертвой нового банковского трояна под названием Ginp. Об этом сообщили специалисты компании Threat Fabric, работающей в сфере информационной безопасности.

Впервые троян Ginp был обнаружен специалистами «Лаборатории Касперского» в конце октября 2019 года. В отчёте сказано, что мошенническая кампания с использованием банковского трояна Ginp, нацеленная на пользователей Android, началась в июне 2019 года. Специалисты отмечают, что рассматриваемое вредоносное ПО всё ещё находится в разработке, а хакеры преимущественно полагаются на код вредоноса Anubis.

С июня в сети Интернет было обнаружено 5 версий трояна Ginp. Злоумышленники маскируют его под популярные приложения, такие как Adobe Flash Player. На данный момент он распространяется только через APK-файлы, размещаемые на разных веб-сайтах. Очевидно, что пробраться в официальный магазин цифрового контента Google Play Store вредоносу пока не удалось.

После попадания на устройство жертвы Ginp удаляет значок приложения с рабочего стола и маскируется, чтобы максимально усложнить процесс своего обнаружения и удаления. На втором этапе ПО постарается получить привилегированный доступ внутри системы Android. После этого троян сможет собирать разную информацию и передавать её на подконтрольный хакерам сервер, а также выполнять разные команды, поступающие удалённо. Одна из особенностей Ginp заключается в возможности детальной имитации интерфейса банковских приложений. В процессе работы троян запрашивает платёжные банковские данные, которые после попадания в руки злоумышленников продаются на чёрном рынке.

В отчёте говорится, что Ginp также запрашивает данные банковских карт при совершении покупок в Play Store. Это означает, что хакеры могут завладеть платёжными данными, не вызывая каких-либо подозрений. На данный момент троян преимущественно нацелен на испанские банковские приложения, но исследователи не исключают, что в будущем он может распространиться на другие страны европейского региона.

Android-троян FANTA нацелился на пользователей из России и СНГ

Стало известно о росте активности трояна FANTA, который атакует владельцев Android-устройств, пользующихся разными интернет-сервисами, в том числе Avito, AliExpress и Юла.

Об этом сообщили представители Group IB, которые занимаются исследованиями в сфере информационной безопасности. Специалисты зафиксировали очередную кампанию с применением трояна FANTA, который используется для атаки клиентов 70 банков, платёжных систем, веб-кошельков. В первую очередь кампания направлена против пользователей, проживающих на территории России и некоторых стран СНГ. Кроме того, троян нацелен на людей, размещающих объявления о купле-продаже на популярной площадке Avito. По оценкам специалистов, только в этом году потенциальный ущерб от трояна FANTA для россиян составляет порядка 35 млн рублей.

Исследователи Group IB выяснили, что кроме Avito Android-троян нацелен на пользователей десятков популярных сервисов, в том числе Юла, AliExpress, Trivago, Pandao и др. Схема мошенничества подразумевает использование фишинговых страниц, которые маскируются злоумышленниками под настоящие веб-сайты.

После публикации объявления жертва получает SMS-сообщение, в котором говорится о переводе полной стоимости товара. Для просмотра деталей предлагается перейти по ссылке, которая прилагается к сообщению. В конечном счёте жертва попадает на фишинговую страницу, которая внешне ничем не отличается от страниц Avito. После просмотра данных и нажатия на кнопку «Продолжить» на пользовательское устройство загружается вредоносный APK FANTA, маскирующийся под мобильное приложение Avito.

Далее троян определяет тип устройства и выводит на экран сообщение, в котором говорится о произошедшем системном сбое. Затем выводится окно «Безопасность системы», где пользователю предлагается разрешить приложению доступ к AccessibilityService. Получив данное разрешение, троян без посторонней помощи получает права на совершение других действий в системе, совершая для этого имитацию нажатий на клавиши.

Специалисты отмечают, что разработчики трояна уделили особое внимание интеграции средств, позволяющих FANTA обходить антивирусные решения для Android. После установки троян не даёт пользователю запускать такие приложения, как Clean, MIUI Security, Kaspersky Antivirus AppLock & Web Security Beta, Dr.Web Mobile Control и др.

window-new
Soft
Hard
Тренды 🔥
Microsoft отключила русскоязычную версию блога Xbox Wire 4 ч.
В Dying Light 2 появилась неофициальная поддержка масштабирования AMD FSR 2.0 8 ч.
EA раскритиковали за попытку пошутить над людьми, которым «нравятся только одиночные игры» 8 ч.
Windows 11 становится всё популярнее среди геймеров — в Steam эта ОС заняла более 20 % в июле 10 ч.
Новая статья: Neon White — неожиданный кандидат на «Игру года». Рецензия 22 ч.
Новая статья: Gamesblender № 577: цена прокачки в Diablo Immortal, Overwatch 2 вместо первой части и поиски виновных в багах Cyberpunk 2077 22 ч.
Meta закроет свой неудавшийся криптопроект Novi в сентябре 02-07 17:02
У витрины инди-игр itch.io появился клон — W3itch.io: его создатели признались в воровстве чужого кода 02-07 16:04
Первые подробности кампании Бакалавра в «Мор. Утопия»: без выживания и открытого мира, но с путешествием во времени 02-07 15:52
Крупнейший эмитент стейблкоинов Tether сократил долю коммерческих бумаг в резерве 02-07 14:56
Дата-центрам Microsoft Azure не хватает серверов в условиях облачного бума 40 мин.
Официально: Xiaomi 12S Pro получит процессор Snapdragon 8+ Gen 1 и покажет рекордный результат в AnTuTu 3 ч.
Марсоход Perseverance получил повреждения датчика ветра — из-за слишком сильного ветра 5 ч.
Ericsson: объём мобильного веб-трафика удвоился за два года и продолжит расти — инфраструктура может не справиться 8 ч.
Intel будет терять позиции на серверном рынке: AMD увеличит долю в 1,8 раз, а системы на Arm — более чем в 3 раза 9 ч.
Немецкий регулятор призвал Tesla отозвать почти 60 тыс. Model Y и Model 3 10 ч.
OnePlus готовит свои самые доступные беспроводные наушники — Nord Buds CE 13 ч.
Fractal Design представила корпуса серии Pop XL с поддержкой видеокарт длиной до 455 мм 14 ч.
В июньском рейтинге самых мощных смартфонов доминируют аппараты на базе Snapdragon 8 Gen 1 15 ч.
Tesla построит в Техасе ещё один гигантский производственный корпус 15 ч.