Новый дроппер BugDrop заточен на обход защитных функций Android 13
Главная » Новости

Новый дроппер BugDrop заточен на обход защитных функций Android 13

Екатерина Быстрова 17 Августа 2022 - 18:05
...
Новый дроппер BugDrop заточен на обход защитных функций Android 13

Исследователи обнаружили ранее неизвестный троян-дроппер для Android, который всё ещё находится в стадии разработки. Вредонос является ярким примером того, что киберпреступники продолжают находить лазейки для обхода защитных механизмов мобильной ОС и Google Play Store.

Новый дроппер засекли специалисты компании ThreatFabric. Хан Сахин, один из исследователей, описывает киберугрозу следующим образом:

«Вредонос пытается проникать на Android-устройства с помощью новой техники, которая ранее нам не встречалась. Кроме того, дроппер распространяет крайне опасного банковского трояна Xenomorph».

Свежий дроппер назвали “BugDrop”, самое интересное в нем — специальный акцент на обход защитных функций, реализованных в версии Android 13, готовящейся к скорому выходу. Напомним, что одной из особенностей этого релиза мобильной ОС стала защита специальных возможностей Accessibility Services от вредоносных программ.

В ThreatFabric считают, что за BugDrop стоит киберпреступная группировка “Hadoken Security”, которая известна распространением опасных вредоносных приложений — Xenomorph и Gymdrop.

 

Поскольку Accessibility API позволяет софту считывать контент на дисплее и осуществлять определение действия от лица пользователя, он очень полюбился злоумышленникам. В Google это прекрасно понимают, поэтому решили предусмотреть защиту от этого вектора в Android 13.

Известно, что большинство таких вредоносных приложений загружаются сторонним способом. Это значит, что пользователь должен разрешить их установку из неофициальных источников. Именно поэтому в Android 13 система будет блокировать доступ к Accessibility API софту, загруженному не из Google Play Store.

Разработчики BugDrop быстро сообразили, что нужно как-то обойти эти защитные меры. Дроппер, замаскированный под считыватель QR-кодов, разворачивает вредоносную нагрузку через сессионный процесс инсталляции.

Фактически злоумышленники используют уже готовый вредонос, способный самостоятельно устанавливать APK на устройство жертвы. Такой подход может сделать банковские Android-трояны ещё более опасными, предупреждают исследователи.

Следующая главная новость »
AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

SeedSnatcher: новый Android-троян охотится за сид-фразами криптокошельков
Екатерина Быстрова 08 Декабря 2025 - 10:45
Android Трояны Домашние пользователи
SeedSnatcher: новый Android-троян охотится за сид-фразами криптокошельков

Исследователи из Cyfirma предупредили о новой опасной кампании, нацеленной на владельцев Android-смартфонов, — на этот раз под удар попали пользователи криптокошельков. Вредоносная программа, получившая имя SeedSnatcher, маскируется под приложение «Coin» и распространяется через Telegram и другие соцсети.

Главная цель — вытащить у жертв сид-фразы и получить доступ к их криптоактивам.

На первый взгляд приложение выглядит безобидно. После установки оно открывает интерфейс через WebView, подгружая страницу с домена m.weibo.com — знакомый и вполне легитимный сайт.

 

Но за ширмой прячется полноценный шпионский инструмент. В Cyfirma отмечают, что SeedSnatcher умеет собирать данные о системе, передавать информацию на удалённый сервер, выполнять команды операторов и точно копировать интерфейсы популярных криптокошельков.

Основная схема атаки строится на наложениях поддельных окон. Когда пользователь пытается восстановить доступ к своему кошельку — например, MetaMask, Trust Wallet или Coinbase, — вредонос показывает поддельную форму. Введённые слова сид-фразы тут же отправляются злоумышленникам. Причём SeedSnatcher настолько аккуратен, что сверяет каждое введённое слово с официальным перечнем BIP-39, встроенным прямо в приложение.

 

 

Но кражей криптовалютных фраз дело не ограничивается. SeedSnatcher способен перехватывать СМС с одноразовыми кодами, собирать список контактов и лог звонков, а также выполнять удалённые команды. Каждая операция запускается отдельным числовым кодом, например, 2100 — запрос информации об устройстве, 2304 — работа с вызовами. Всё это происходит незаметно для пользователя.

Исследователи считают, что за кампанией стоит хорошо организованная группа. В приложении обнаружена система отслеживания установок по партнёрским кодам — так операторы видят, какой «агент» привёл очередную жертву. А языковые следы в панели управления указывают на то, что злоумышленники, скорее всего, из Китая или как минимум являются носителями китайского языка.

Эксперты рекомендуют быть осторожнее с приложениями, распространяемыми через мессенджеры и соцсети, и никогда не вводить сид-фразы в сторонних приложениях — даже если интерфейс выглядит убедительно.

AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности
На конференции «Гарды» обсудят будущее киберугроз и защиту данных в 2026
Новость
На конференции «Гарды» обсудят будущее киберугроз и защиту д...
К 2030 году объем российского рынка ИБ может достичь 968 млрд рублей
Новость
К 2030 году объем российского рынка ИБ может достичь 968 млр...
64% компаний в России не будут сокращать ИБ-бюджеты в 2026 году
Новость
64% компаний в России не будут сокращать ИБ-бюджеты в 2026 г...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.