Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Android-кампания с фишингом и утечкой данных через Telegram

1
3 мин
SonicWall Capture Labs зафиксировала новую злонамеренную кампанию для Android, в которой злоумышленники используют заманчивые рекламные сообщения и push‑уведомления, чтобы убедить пользователей установить поддельные приложения. После установки такие приложения требуют навязчивых разрешений, выполняют фишинговые сценарии и эксфильтрируют финансовые данные — включая данные карт, одноразовые пароли (OTP) и PIN‑коды UPI. «SonicWall Capture Labs выявила злонамеренную кампанию для Android, которая нацелена на пользователей рекламными предложениями и уведомлениями, стремясь обмануть их и заставить загрузить вредоносные приложения.» — SonicWall Capture Labs Кампания распространяется через социальные сети, мессенджеры и сторонние магазины приложений. Жертв заманивают сообщениями о кэшбэке, бонусах и штрафах за дорожные правонарушения — темами, которые наиболее эффективно стимулируют доверие и интерес со стороны потенциальных жертв. Одна из ключевых техник злоумышленников — использование локальн
Оглавление

SonicWall Capture Labs зафиксировала новую злонамеренную кампанию для Android, в которой злоумышленники используют заманчивые рекламные сообщения и push‑уведомления, чтобы убедить пользователей установить поддельные приложения. После установки такие приложения требуют навязчивых разрешений, выполняют фишинговые сценарии и эксфильтрируют финансовые данные — включая данные карт, одноразовые пароли (OTP) и PIN‑коды UPI.

«SonicWall Capture Labs выявила злонамеренную кампанию для Android, которая нацелена на пользователей рекламными предложениями и уведомлениями, стремясь обмануть их и заставить загрузить вредоносные приложения.» — SonicWall Capture Labs

Механизм распространения

Кампания распространяется через социальные сети, мессенджеры и сторонние магазины приложений. Жертв заманивают сообщениями о кэшбэке, бонусах и штрафах за дорожные правонарушения — темами, которые наиболее эффективно стимулируют доверие и интерес со стороны потенциальных жертв.

Как работает вредоносное приложение

  • После установки приложение запрашивает ряд навязчивых разрешений, необходимых для доступа к SMS, звонкам и уведомлениям.
  • Через фишинговые страницы внутри приложения злоумышленники выманивают у пользователей данные кредитных карт, OTP и PIN‑коды UPI.
  • Приложение собирает широкие телеметрические данные о устройстве и устанавливает связь с серверами управления и контроля (C2), контролируемыми злоумышленниками.
  • Одновременно реализуются возможности перехвата входящих звонков и SMS, что делает возможным обход двухфакторной аутентификации и подмену транзакций.

Технические детали эксфильтрации

Одна из ключевых техник злоумышленников — использование локального WebView для загрузки файла index.html, находящегося в папке assets приложения. Этот файл содержит вредоносные скрипты, которые собирают личные данные (включая номер телефона) и передают их злоумышленнику через Telegram.

Механизм эксфильтрации устроен следующим образом:

  • Скрипты внутри index.html извлекают конфиденциальную информацию с интерфейса приложения.
  • Полученные данные отправляются на Telegram‑bot злоумышленника с использованием токена bot и идентификатора чата (chat ID), что упрощает автоматизированный сбор и агрегирование украденных данных.

Целевая аудитория и мотивация

Исследование указывает, что кампания в основном ориентирована на пользователей в Индии — злоумышленники используют локализованные сценарии (кэшбэк, штрафы), которые хорошо откликаются на финансовые мотивы местной аудитории.

Риски для пользователей

  • Кража данных карт и банковских реквизитов.
  • Перехват одноразовых паролей (OTP) и SMS — обход MFA.
  • Кража PIN‑кодов UPI и возможность несанкционированных платежей.
  • Длительная связность с C2 и постоянная утечка персональных данных.
  • Автоматизированная агрегация украденных данных через Telegram‑ботов.

Рекомендации по защите

Чтобы снизить риск заражения и утечки данных, специалисты по безопасности и конечные пользователи должны учитывать следующие меры:

  • Устанавливать приложения только из официального магазина Google Play и проверять репутацию разработчика.
  • Осторожно относиться к ссылкам в социальных сетях и мессенджерах, особенно если они обещают кэшбэк или штрафы.
  • Внимательно проверять запрашиваемые разрешения — отказать в доступе к SMS/звонкам, если они не требуются для работы легитимного приложения.
  • Использовать многофакторную аутентификацию, по возможности — без привязки к SMS.
  • Регулярно обновлять ОС и приложения, а также применять решения для защиты конечных точек.
  • Организациям рекомендовано рассмотреть специализированные решения, такие как Capture ATP с Инспекцией Глубокой Памяти в Реальном времени (RTDMI), для обнаружения и блокирования современных образцов вредоносного ПО.
  • Удалять подозрительные приложения и немедленно обращаться в банк при признаках несанкционированной активности.

Вывод

Кампания демонстрирует скоординированный и многоканальный подход злоумышленников: социальная инженерия, локальные WebView‑фишинговые страницы и автоматизированная эксфильтрация через Telegram делают угрозу особенно опасной для пользователей с низкой осведомлённостью. Комплексная защита — сочетание безопасных практик пользователей и современных антималварных решений — остаётся ключевым барьером против таких атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Android-кампания с фишингом и утечкой данных через Telegram".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются