Специалисты по информационной безопасности профильной компании Cyble сообщили об обнаружении новой киберпреступной кампании, в рамках которой хакеры активно распространяют среди пользователей из различных стран мира новый банковский троян, нацеленный на устройства Android. Об этой вредоносной активности эксперты сообщили в своём новом отчёте.
В отчёте, опубликованном 16 мая, компания Cyble описала сложное вредоносное ПО, включающее в себя ряд вредоносных функций, в том числе наложенные атаки, кейлоггинг и возможности запутывания.
Вредоносное программное обеспечение, которое получило название Antidot, выдаёт себя за приложение обновления Google Play и после установки отображает поддельную страницу обновления Google Play.
Эксперты компании Cyble отмечают, что эта фейковая страница обновления была создана на разных языках, поэтому нацелена на пользователей из разных стран мира, в том числе из Германии, Франции, Испании, России, Португалии, Румынии и многих англоязычных стран. Это свидетельствует о том, что вредоносное ПО нацелено на пользователей Android в разных регионах.
На странице поддельного обновления кнопка «Продолжить» перенаправляет пользователя к настройкам специальных возможностей Android-устройства. Как только пользователь предоставляет доступ к службе, вредоносная программа отправляет на сервер первое «пинг-сообщение» вместе с данными в кодировке Base64, которые содержат следующее:
- Название вредоносного приложения.
- Версия пакета разработки программного обеспечения (SDK).
- Модель телефона.
- Производитель телефона.
- Язык и код страны.
- Список установленных пакетов приложений.
В фоновом режиме вредоносная программа инициирует связь со своим сервером управления и контроля (C2) по адресу «hxxp://46[.]228.205.159:5055/». Помимо HTTP-соединения, троянец устанавливает соединение WebSocket с помощью библиотеки Socket.io, которая обеспечивает двустороннюю связь между сервером и клиентом в режиме реального времени.
Оригинал публикации на сайте CISOCLUB: "Хакеры распространяют новый банковский троян для Android, имитирующий обновление приложения Google Play".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
