Фишинговая кампания в Индии: опасность Android SpyMax через фальшивые приглашения на свадьбу в WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta)
Недавние отчёты выявили новую фишинговую атаку, нацеленную на пользователей мобильных устройств в Индии. Мошенники распространяют вредоносное программное обеспечение под видом приглашений на свадьбу через мессенджер WhatsApp, используя социальную инженерию для проникновения в личные данные жертв. Основным инструментом атаки выступает вредоносное ПО Android SpyMax — мощный RAT (remote administration tool), способный скрытно собирать и передавать конфиденциальную информацию с заражённых устройств.
Механизм атаки: как SpyMax проникает на устройство
Атака начинается с распространения APK-файла, который якобы содержит приглашение на свадебное торжество. Пользователи, желая открыть приглашение, скачивают и устанавливают файл, не подозревая, что получают вредоносное приложение с чрезмерными разрешениями. При установке происходит:
- Назначение вредоносного APK в качестве домашнего приложения по умолчанию;
- Запрос на установку дополнительных приложений без ведома пользователя;
- Показ вводящего в заблуждение уведомления о системном обновлении;
- Запуск скрытого компонента, определяемого как com.android.pictach, для дальнейших действий на устройстве.
Функционал SpyMax: сбор данных и скрытная передача
После активации SpyMax раскрывает весь арсенал инструментов типичного троянского коня:
- Кейлоггинг: запись всех нажатий клавиш на устройстве, что позволяет похищать банковские реквизиты, пароли и OTP (one-time passwords).
- Перехват уведомлений через AccessibilityEvents, благодаря чему программное обеспечение извлекает коды двухфакторной аутентификации и сообщения из таких приложений, как WhatsApp.
- Компиляция и сжатие всех собранных данных для последующей передачи.
- Отправка информации на command and control (C2) сервер по IP-адресу 104.234.167.145 через порт 7860, что даёт злоумышленникам полный контроль над устройством и возможность осуществлять несанкционированные переводы средств.
Особенности поведения вредоносного ПО
Android SpyMax активно проверяет наличие защитных средств на устройстве, таких как приложения мобильной безопасности. Если обнаруживаются такие продукты, они могут быть отключены или подвергнуты сбору дополнительной информации для злоумышленников, что увеличивает риск успешной атаки.
Рекомендации по защите
С учётом описанных угроз необходимо соблюдать следующие меры предосторожности:
- Не загружать и не устанавливать приложения из ненадёжных источников и сторонних сайтов.
- Игнорировать подозрительные ссылки и файлы, полученные через мессенджеры, даже если они выглядят как официальные приглашения или другие заманчивые предложения.
- Регулярно обновлять операционную систему и антивирусные решения на мобильных устройствах.
- Отключать возможность установки приложений из неизвестных источников в настройках устройства.
- Проявлять осторожность при вводе личных данных и банковской информации, особенно если устройство ведёт себя подозрительно.
Подчёркивая важность безопасности мобильных устройств, эксперты напоминают: общеобразовательные меры и внимательность пользователей остаются ключевыми факторами в борьбе с современными киберугрозами, такими как Android SpyMax.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Фишинг и Android SpyMax: новая угроза для мобильных пользователей Индии".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.