Банковские Android-трояны в Индонезии и Вьетнаме через Google Play

С августа 2024 года исследователи выявили масштабную кампанию по распространению банковских троянов, нацеленную на пользователей Android в Индонезии и Вьетнаме. Злоумышленники маскируют вредоносное ПО под легитимные приложения — платежные сервисы и государственные службы идентификации — и применяют скоординированную инфраструктуру и методы уклонения от детектирования.

Ключевые факты

• Период активности: с августа 2024 года.
• Целевые платформы: Android; вектор доставки — поддельные приложения и сайты, связанные с Google Play Store.
• География атак: преимущественно Индонезия и Вьетнам (региональная фокусировка в Восточной Азии).
• Основная мотивация: финансовая (банковские трояны).
• Примеры используемых названий: «Identitas Kependudukan Digital» — намеренная имитация сервисов удостоверения личности.

Технические детали инфраструктуры

Анализ показал повторяющееся использование конкретных провайдеров, регистраторов и серверов имен, что указывает на скоординированный подход операторов кампании:

• Интернет-провайдеры и CDN: Alibaba и Cloudflare (особое внимание на регионы SG и ID).
• Web‑серверы: nginx.
• Регистратор доменов: Gname.com Пте. Ооо.
• DNS: использование серверов имен из share-dns.net и инфраструктуры Cloudflare.
• Повторное использование TLS-сертификатов и объединение доменов для доступа к общим IP-адресам.

Методы доставки и уклонения

Злоумышленники внедряют несколько техник для обхода мер безопасности и повышения успешности заражений:

• замаскированные приложения, распространяемые через поддельные страницы, имеющие связь с Google Play Store;
• использование схем регистрации доменов и повторного применения TLS-сертификатов для «скрытия» инфраструктуры;
• объединение доменов на общих IP и использование Cloudflare/Alibaba для надежной доставки контента;
• стратегии, препятствующие прямой загрузке или обнаружению статических URL сканерами безопасности;
• адресация атак преимущественно в дневное время по часовому поясу Восточной Азии — вероятная попытка повысить вовлеченность местных пользователей.

При этом некоторые браузеры всё же помечают такие загрузки как подозрительные, что подтверждает эффективность встроенных механизмов защиты при условии их включения и актуальности.

Оценка происхождения и уровня организованности

Кампания сочетает признаки как низкоуровневых финансово мотивированных групп, так и более организованных операторов:

• с одной стороны — использование простых приёмов, таких как манипулирование Google Play Store, характерно для менее изощрённых преступников;
• с другой стороны — последовательность в выборе провайдеров (Alibaba, Cloudflare), регистратора (Gname.com Пте. Ооо.) и серверов имен (share-dns.net) указывает на более скоординированные, повторяющиеся операции, чем можно ожидать от одиночных злоумышленников;
• смешанный языковой код на поддельных сайтах в сочетании с финансовой мотивацией позволяет предположить региональную ориентацию атакующих.

«Кампания демонстрирует организованный подход к распространению вредоносного ПО и использование общей тактики, что усиливает угрозу для пользователей в целевых регионах», — следует из наблюдений.

Риски для пользователей

• кража банковских данных и учетных записей платежных сервисов;
• перехват или подмена идентификационной информации (имитация государственных сервисов, например Identitas Kependudukan Digital);
• широкое распространение из‑за использования легитимных CDN/провайдеров и методов обхода детектирования;
• повышенная вероятность успешных атак в рабочее время целевого региона.

Рекомендации по защите

• Проверять источник приложений — устанавливать ПО только из официальных источников и внимательно смотреть на репутацию разработчика в Google Play Store.
• Включить и регулярно обновлять защиту: Play Protect и мобильные антивирусы.
• Ограничить права приложений — не предоставлять лишних разрешений, особенно на SMS, доступ к уведомлениям и управлению устройством.
• Использовать сетевые механизмы защиты: фильтрация доменов/IP, мониторинг аномалий трафика и блокировка подозрительной инфраструктуры (особенно перечисленных провайдеров/регистраторов при подтверждении компрометации).
• Обращать внимание на предупреждения браузера при загрузке APK-файлов и не игнорировать их.
• Организациям: внедрять многослойную защиту, мониторить повторное использование TLS-сертификатов и нетипичную агрегацию доменов на общих IP.

Индикаторы инфраструктуры (обзор)

• Провайдеры/CDN: Alibaba, Cloudflare (регионы SG, ID).
• Регистратор: Gname.com Пте. Ооо.
• DNS: share-dns.net, Cloudflare nameservers.
• Web-сервер: nginx.
• Название вредоносного приложения/маскировки: «Identitas Kependudukan Digital».

Вывод

Кампания, активная с августа 2024 года, представляет собой реальную и возрастающую угрозу для пользователей Android в регионе. Несмотря на элементы, характерные для менее опытных злоумышленников, согласованность в использовании провайдеров, регистраторов и DNS-инфраструктуры свидетельствует о более системном подходе. Постоянная бдительность пользователей, операторов платформ и организаций безопасности, а также своевременные контрмеры — ключ к снижению рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Банковские Android-трояны в Индонезии и Вьетнаме через Google Play".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.