Понедельник , 22 Апрель 2019

Обнаружена новая разновидность вредоносного ПО для Android

Новая разновидность троянских вредоносных программ для телефонов Android ориентирована на глобальных пользователей самых популярных криптоприложений, таких как Coinbase, BitPay и Bitcoin Wallet, а также на банки, включая JPMorgan, Wells Fargo и Bank of America. Об этом 28 марта сообщило новостное агентство The Next Web.

Основываясь на исследованиях известной аналитической фирмы Group-IB, специализирующейся на киберпреступности, сообщается, что это первый случай, когда троян — теперь называемый «Gustuff» — был зарегистрирован или проанализирован. Вредоносная программа описана как предназначенная для массового заражения и распространяется посредством SMS-сообщений со ссылками для загрузки вредоносных файлов комплекта пакетов Android.

По сообщениям, создатели вредоносного ПО создали «Автоматические системы передачи», которые призваны ускорить и масштабировать кражи, инициируя автоматическое заполнение полей оплаты для законных приложений Android, чтобы злонамеренно перенаправить переводы хакерам.

Предполагается, что приложение выпускает множество «веб-фальшивок», которые имитируют законные приложения для фишинга конфиденциальных данных от пользователей, особенно для клиентов из 32 различных криптоприложений. Push-уведомления с использованием законных значков — это еще одно устройство, которое вредоносная программа использует для автоматизации загрузки поддельных приложений и запуска автозаполнения транзакций.

Group IB, как сообщается, определила 27 поддельных крипто-и банковских приложений, характерных для США, 16 для Польши, 10 для Австралии, 9 для Германии и 9 для Индии. Вредоносное ПО также предназначено для платежных систем и служб обмена сообщениями, таких как PayPal, Revolut, Western Union, eBay, Walmart, Skype и WhatsApp.

По сообщениям, для того, чтобы функционировать, Gustuff использует специальные возможности Android, разработанные для пользователей с ограниченными возможностями, а Group IB характеризует это как относительно редкий и эффективный прием:

«Использование механизма Accessibility Service означает, что троян может обойти […] изменения в политике безопасности Google, введенные в новых версиях ОС Android. Более того, Gustuff знает, как отключить Google Protect; по словам разработчика трояна, эта функция работает в 70 процентах случаев».

По сообщениям, впервые появившаяся на хакерских форумах в апреле 2018 года, Group IB отмечает, что Gustuff был разработан русскоязычным киберпреступником по прозвищу «Bestoffer», но в то же время нацелен на клиентов международных фирм, в основном за пределами России.

Group IB рекомендует пользователям Android загружать приложения строго из магазина Google Play и обращать внимание на расширения загружаемых файлов.

Как сообщалось в феврале, децентрализованное приложение MetaMask было недавно удалено из Google Play после того, как исследователи обнаружили вредоносные программы, представляющие собой инструмент для кражи криптовалюты у пользователей.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *