Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

BTMOB RAT v2.5–3.2: эволюция опасных фишинговых атак

3 мин
12 февраля компания Cyble сообщила о выявлении свежей версии шпионского ПО, известного как BTMOB RAT. Новая модификация, получившая обозначение BTMOB RAT v2.5, распространяется преимущественно через мошеннические фишинговые сайты, имитирующие популярные потоковые сервисы и криптовалютные платформы. В ходе дальнейших расследований специалисты Cyble выявили сразу несколько обновленных версий шпионского ПО – от 2.6 до 2.9, а также последние релизы 3.1 и 3.2. Все они обладают схожими методами маскировки и заражения: Особенно тревожным является обнаружение открытых каталогов для загрузки вредоносного ПО и исполняемых файлов, связанных с ConnectWise – законным инструментом для администрирования, который злоумышленники могут использовать для замаскированного получения несанкционированного доступа. В отличие от предыдущих выпусков, которые содержали автономную полезную нагрузку, новые варианты BTMOB RAT используют дропперы для загрузки и установки вредоносных компонентов. Процесс заражения выг
Оглавление
Источник: zimperium.com
Источник: zimperium.com

Новый вариант шпионского ПО BTMOB RAT v2.5 и его эволюция: угроза безопасности мобильных устройств

12 февраля компания Cyble сообщила о выявлении свежей версии шпионского ПО, известного как BTMOB RAT. Новая модификация, получившая обозначение BTMOB RAT v2.5, распространяется преимущественно через мошеннические фишинговые сайты, имитирующие популярные потоковые сервисы и криптовалютные платформы.

Обнаруженные версии и способы распространения

В ходе дальнейших расследований специалисты Cyble выявили сразу несколько обновленных версий шпионского ПО – от 2.6 до 2.9, а также последние релизы 3.1 и 3.2. Все они обладают схожими методами маскировки и заражения:

  • Распространение через тщательно сконструированные фишинговые сайты;
  • Замаскированы под легитимные обновления;
  • Использование 32 различных дропперов и 44 полезных приложения, которые выглядят как официальные – к примеру, GB WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta), Chrome, Kaspersky и др.;
  • Атаки прицельно направлены на Министерство юстиции Турции.

Особенно тревожным является обнаружение открытых каталогов для загрузки вредоносного ПО и исполняемых файлов, связанных с ConnectWise – законным инструментом для администрирования, который злоумышленники могут использовать для замаскированного получения несанкционированного доступа.

Механизм заражения и особенности новых версий

В отличие от предыдущих выпусков, которые содержали автономную полезную нагрузку, новые варианты BTMOB RAT используют дропперы для загрузки и установки вредоносных компонентов. Процесс заражения выглядит следующим образом:

  1. Пользователь посещает фишинговый сайт и получает предложение обновить приложение;
  2. Отображается поддельный экран обновления, предлагающий скачать вредоносную нагрузку, скрытую в ресурсах приложения;
  3. Вредоносное ПО запрашивает расширенные разрешения, что позволяет ему незаметно повысить привилегии на устройстве;
  4. Пользователь вводит необходимые разрешения, не подозревая об опасности.

Overlay-атака: новый уровень кражи данных

Одной из наиболее опасных функций последних версий BTMOB является внедрение оверлейной атаки. Эта методика позволяет красть учетные данные с экрана блокировки — такие как шаблоны, пароли и PIN-коды. Технические особенности:

  • Оверлей хранится в зашифрованном виде внутри приложения, что затрудняет его обнаружение при статическом анализе;
  • Когда оверлей активируется, он имитирует стандартный экран блокировки, перехватывая вводимые пользователем данные без визуальных предупреждений;
  • Таким образом, злоумышленники получают доступ к конфиденциальной информации, не привлекая внимание жертвы.

Кроме того, в последних версиях реализована специализированная функция, нацеленная на приложение Alipay. Она заключается в следующем:

  • Создается оверлей, следящий за вводом PIN-кода в Alipay;
  • Перехват данных происходит с помощью Android-сервиса, который накладывает фальшивый интерфейс поверх цифровой клавиатуры;
  • Пользователь продолжает видеть привычный экран приложения, не подозревая о краже данных.

Выводы и рекомендации

Расширение функционала и усложнение методологий шпионского ПО BTMOB RAT демонстрируют постоянную эволюцию и адаптацию хакеров к современным методам защиты. Усложнение тактик скрытности и адаптация к конкретным целям, включая государственные структуры, серьезно увеличивают угрозы для безопасности мобильных устройств.

Эксперты рекомендуют:

  • Избегать посещения подозрительных сайтов и загрузок из непроверенных источников;
  • Поддерживать актуальность антивирусного и защитного ПО;
  • Внимательно относиться к запросам на расширенные разрешения приложений;
  • Осуществлять регулярный аудит установленных программ и разрешений на мобильных устройствах;
  • Обращать внимание на подозрительные экраны, особенно при обновлениях и вводе PIN-кодов.

Безопасность мобильных устройств – зона повышенного риска, и только комплексные меры могут гарантировать надежную защиту от подобных сложных угроз, как BTMOB RAT.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "BTMOB RAT v2.5–3.2: эволюция опасных фишинговых атак".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.