В недавних отчетах о телеметрии эксперты выявили опасный Android-малварь, который выдает себя за официальное приложение PM KISAN YOJNA. Эта вредоносная программа выполняет роль дроппера, способного загружать дополнительную полезную нагрузку, предназначенную для кражи конфиденциальных данных пользователей.
Многоступенчатая искажённая технология для обхода защиты
Особенностью данного вредоносного ПО является _многоступенчатая_ технология дроппинга с намеренным искажением кода. Это усложняет процесс анализа и затрудняет использование традиционных инструментов статического анализа и декомпиляции, таких как Apktool и Jadx. Благодаря таким техникам злоумышленники обходят классические методы защиты и снижают шансы обнаружения своих действий.
Механизм работы вредоносного ПО
- После установки пользователь получает предложение скачать «обновление», запрашивающее разрешения на установку VPN-соединения.
- Вредоносное ПО объясняет это необходимостью настройки VPN для управления сетевым трафиком приложения PM KISAN YOJNA, что является обманной тактикой.
- Если пользователь соглашается, появляется запрос на разрешение установки приложений из _неизвестных источников_, что существенно облегчает дальнейшее внедрение вредоносного кода.
- После этого ПО устанавливает соединение с command-and-control (C2) серверами, доступ к которым осуществляется без ведома пользователя.
- Вредоносная программа способна отправлять SMS-сообщения с устройства, что представляет дополнительную угрозу безопасности.
На момент проведения анализа указанный сервер C2 был отключен, однако это не исключает дальнейшей активности злоумышленников.
Распространение новых версий и эволюция угрозы
Обнаружена новая разновидность данного вредоноса под названием Salvador. Она находится в стадии активного распространения, что свидетельствует о постоянно совершенствующихся методах киберпреступников. Злоумышленники продолжают улучшать механизмы имитации легитимных приложений, расширять функционал похищения данных и избегать обнаружения.
Рекомендации по защите от угроз
Для минимизации рисков, связанных с такими сложными вредоносными программами, эксперты советуют:
- Не загружать приложения из _неофициальных_ или сомнительных источников.
- Регулярно обновлять операционную систему и устанавливать актуальные патчи безопасности.
- Использовать надежные антивирусные и защитные решения, способные выявлять новые тактики вредоносных программ.
- Внимательно относиться к запросам на установку VPN и установку приложений из неизвестных источников.
Соблюдение этих рекомендаций поможет снизить вероятность успешного внедрения вредоносного ПО и сохранить безопасность персональных данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новая угроза Android: дроппер "PM KISAN YOJNA" обходит защиту".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.