ИБ-экспертам «Лаборатории Касперского» стало известно о новом направлении деятельности киберпреступной группы Transparent Tribe – теперь хакеры организации распространяют новое вредоносное ПО под видом приложения с контентом для взрослых или программы для отслеживания контактов заболевших COVID-19.
Ранее группировка хакеров Transparent Tribe активно занималась только целевыми атаками на конкретные компании, но теперь, как отмечают специалисты Kaspersky, группа решила переключиться на мобильных пользователей.
При проведении последних киберпреступных кампаний хакеры из Transparent Tribe использовали два приложения для Android:
- одно представлено в виде программы-видеоплеера, с помощью которой можно просматривать ролики порнографического содержания;
- второе называется Aarogya Setu и якобы позволяет отслеживать распространение коронавируса в своем городе/районе.
В реальности установленные вредоносные приложения на устройстве жертвы стараются без ведома пользователя инсталлировать нежелательный софт под названием AhMyth, который после установки и запуска позволяет киберпреступнику получить удаленный доступ к мобильному телефону жертвы.
Эксперты по информационной безопасности «Лаборатории Касперского» смогли получить образец вредоносной программы. После его беглого изучения они заметили, что представленный троян отличается продвинутостью имеющегося в нем функционала.
Если вредоносное ПО будет установлено в системе, то киберпреступник получит практически полный доступ к устройству жертвы – сможет читать отправленные и полученные SMS-сообщения, управлять имеющимися в устройстве файлами, делать скриншоты, слушать и записывать телефонные разговоры, смотреть список контактов и историю вызовов.
Джампаоло Дедола, старший исследователь безопасности в группе глобальных исследований и анализа компании Kaspersky, отмечает, что имеющиеся данные свидетельствуют о том, что злоумышленники размещают файлы пакетов Android на определенных веб-сайтах и заманивают пользователей на них с помощью социальной инженерии.
«Вредоносное ПО AhMyth выглядит интересно, потому что Transparent Tribe инвестирует в него и модифицирует код в соответствии со своими потребностями», – говорит Джампаоло Дедола. «Это, вероятно, означает, что троян будет использоваться и в будущих атаках, и специалисты по информационной безопасности должны следить за этой угрозой, чтобы предотвратить заражение».
