Monday , 22 April 2019

Виявлено новий різновид шкідливого ПЗ для Android

Новий різновид троянських шкідливих програм для телефонів Android орієнтований на глобальних користувачів найпопулярніших криптододатків, таких як Coinbase, BitPay і Bitcoin Wallet, а також на банки, включаючи JPMorgan, Wells Fargo і Bank of America. Про це 28 березня повідомило агентство The Next Web.

Грунтуючись на дослідженнях відомої аналітичної фірми Group-IB, що спеціалізується на кіберзлочинності, повідомляється, що це перший випадок, коли троян – тепер званий «Gustuff» – був зареєстрований або проаналізований. Шкідлива програма описана як призначена для масового зараження і розповсюджується за допомогою SMS-повідомлень з посиланнями для завантаження шкідливих файлів комплекту пакетів Android.

За повідомленнями, творці шкідливого ПЗ створили «Автоматичні системи передачі», які покликані прискорити і масштабувати крадіжки, ініціюючи автоматичне заповнення полів оплати для законних додатків Android, щоб зловмисно перенаправити перекази хакерам.

Передбачається, що додаток випускає безліч «веб-фальшивок», які імітують законні додатки для фішингу конфіденційних даних від користувачів, особливо для клієнтів з 32 різних криптододатків. Push-повідомлення з використанням законних значків – це ще один пристрій, який шкідлива програма використовує для автоматизації завантаження підроблених додатків і запуску автозаповнення транзакцій.

Group IB, як повідомляється, визначила 27 підроблених крипто-і банківських додатків, характерних для США, 16 для Польщі, 10 для Австралії, 9 для Німеччини і 9 для Індії. Шкідливе ПЗ також призначене для платіжних систем і служб обміну повідомленнями, таких як PayPal, Revolut, Western Union, eBay, Walmart, Skype і WhatsApp.

За повідомленнями, для того, щоб функціонувати, Gustuff використовує спеціальні можливості Android, розроблені для користувачів з обмеженими можливостями, а Group IB характеризує це як відносно рідкісний і ефективний прийом:

«Використання механізму Accessibility Service означає, що троян може обійти […] зміни в політиці безпеки Google, введені в нових версіях ОС Android. Більш того, Gustuff знає, як відключити Google Protect; за словами розробника трояна, ця функція працює в 70 відсотках випадків ».

За повідомленнями, що вперше з’явилися на хакерських форумах в квітні 2018 року, Group IB зазначає, що Gustuff був розроблений російськомовним кіберзлочинцем на прізвисько «Bestoffer», але в той же час націлений на клієнтів міжнародних фірм, в основному за межами Росії.

Group IB рекомендує користувачам Android завантажувати додатки строго з магазину Google Play і звертати увагу на розширення завантажуваних файлів.

Як повідомлялося в лютому, децентралізований додаток MetaMask було недавно видалено з Google Play після того, як дослідники виявили шкідливі програми, що представляють собою інструмент для крадіжки криптовалюти у користувачів.

Leave a Reply

Your email address will not be published. Required fields are marked *