С середины 2024 года на киберпространстве активна опасная вредоносная кампания под названием Tria Stealer, которая охотится главным образом на пользователей в Малайзии и Брунее. Хакеры используют креативные методы социализации, чтобы заманить жертв поддельными свадебными приглашениями и добиться установки вредоносного программного обеспечения.
Методы атак и механика вербовки жертв
Кампания Tria Stealer включает в себя:
- Распространение поддельных свадебных приглашений;
- Установку вредоносного приложения для Android (APK), которое собирает личные данные;
- Сбор информации, включая SMS, журналы вызовов и сообщения из приложений, таких как WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) и email;
- Отправку украденной информации ботам Telegram, контролируемым хакером.
На основании анализа артефактов в вредоносном ПО предполагается, что хакер, стоящий за Tria Stealer, говорит по-индонезийски. В приложении были обнаружены строки на индонезийском языке, что добавляет уверенности в этой гипотезе.
Функциональные особенности APK
С начала 2024 года было выявлено две версии APK-файла. Новая версия включает в себя:
- Расширенные функции по краже личных сообщений;
- Сбор данных из различных приложений для обмена сообщениями и электронной почты;
- Доступ к сообщениями, звонкам и сетевой информации через разрешения устройства.
Хакер активно использует украденную информацию для компрометации аккаунтов жертв в WhatsApp и Telegram, а также для дальнейшего распространения вредоносного приложения среди контактов и запроса денежных переводов.
Сравнение с предыдущими угрозами
Можно провести параллель с предыдущей кампанией UdangaSteal, которая также нацеливалась на пользователей в Индонезии, Малайзии и Индии. Однако, в отличие от UdangaSteal, в Tria Stealer зафиксированы различия в:
- Коде APK;
- Шаблонах именования ботов Telegram;
- Профилях и стратегиях воздействия на жертвы.
Tria Stealer демонстрирует улучшенные тактики, нацеливаясь на личные сообщения и данные из приложений для обмена сообщений и электронной почты.
Заключение и рекомендации
Кампания Tria Stealer продолжает оставаться активной, и эксперты предсказывают, что хакер, вероятно, будет нацеливаться на пользователей в Малайзии и Брунее в будущем. Рекомендуется соблюдать меры предосторожности:
- Отказ от установки приложений из ненадежных источников;
- Использование надежных решений для обеспечения безопасности мобильных устройств.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Похититель данных "Tria Stealer": угроза для пользователей Android".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.