Новый Android-вредонос стирает все данные на устройстве после кражи денег

Новый Android-вредонос стирает все данные на устройстве после кражи денег

Новый Android-вредонос стирает все данные на устройстве после кражи денег

Новая вредоносная программа для Android не только пытается опустошить банковские счета пользователей, но и полностью стирает данные на устройстве, фактически реализуя деструктивную функциональность вайпера. Зловреду дали имя BingoMod.

Вектор распространения вредоноса — текстовые сообщения. Злоумышленники пытаются замаскировать BingoMod под защитный софт для мобильных устройств.

Изучавшие вайпер исследователи из компании Cleafy считают, что он пока находится в стадии разработки. В частности, авторы пытаются добавить механизм обфускации кода и другие уловки для ухода от детектирования.

В СМС-рассылке, с помощью которой распространяется BingoMod, его представляют под разными именами, призванными придать ему легитимный вид: APP Protection, Antivirus Cleanup, Chrome Update, InfoWeb, SicurezzaWeb, WebSecurity, WebsInfo, WebInfo и APKAppScudo.

При установке вредоносное приложение запрашивает доступ к специальным возможностям операционной системы Android — Accessibility Services. Если пользователь выдаст эти права, зловред сможет получить контроль над девайсом.

Далее BingoMod вытаскивает учётные данные, снимает скриншоты и читает СМС-сообщения — всё это нужно для кражи денег с банковских счетов пользователей.

Специально созданные каналы связи — на сокет и HTTP — позволяют принимать команды и отправлять поток снятых скриншотов. Таким образом, с помощью BingoMod злоумышленники могут проводить удалённую операцию практически в режиме реального времени.

 

Согласно отчёту Cleafy, BingoMod может удалять защитные программы с устройства, а также блокировать работу определённых приложений, указанных авторами в коде.

Для ухода от детектирования операторы добавили выравнивание и обфускацию кода. Судя по результатам сканирования на VirusTotal, эти методы неплохо работают:

 

Как мы уже упоминали, BingoMod может стирать всю информацию на устройстве. Для этого оператор должен отправить ему соответствующую команду после кражи всех денег жертвы. За вайпинг отвечает эта часть кода:

57% компаний не знают свою инфраструктуру, поэтому дольше расследуют атаки

Российские ИБ-команды по-прежнему вынуждены больше тушить пожары, чем предотвращать их. К такому выводу пришли аналитики компании «Гарда», изучив практики реагирования на киберинциденты в российских организациях. Главная проблема оказалась вполне ожидаемой — расследование инцидентов.

Для 33% компаний именно анализ логов и поиск индикаторов компрометации остаются самым трудоемким этапом реагирования. А в организациях с численностью свыше 5000 сотрудников этот показатель достигает 42%.

При этом далеко не все компании вообще знают, что происходит в собственной инфраструктуре. Исследование показало, что 57% организаций не проводят полную инвентаризацию и классификацию ИТ-активов. Из-за этого расследования затягиваются, а поиск источника атаки превращается в настоящий квест.

Еще одна хроническая болезнь отрасли — нехватка кадров. Более половины участников исследования признались, что специалистов по информационной безопасности попросту не хватает. Особенно остро проблема ощущается в компаниях с численностью от 250 до 1000 сотрудников, где на кадровый дефицит указали 70% респондентов.

С автоматизацией тоже все непросто. Хотя 52% компаний уже используют SIEM-системы, специализированные инструменты активного реагирования — XDR, SOAR, EDR и NDR — внедрены значительно реже. В результате многие процессы по-прежнему выполняются вручную.

Чаще всего автоматизируют самые очевидные действия: блокировку IP-адресов и доменов (49%), отключение учетных записей (46%) и изоляцию зараженных устройств (35%).

Еще один любопытный вывод исследования — главными источниками головной боли остаются вовсе не сложные APT-группировки, а старые добрые фишинг и компрометация учетных записей. Человеческий фактор по-прежнему остается любимой точкой входа злоумышленников.

По словам руководителя продуктового направления «Гарды» Станислава Грибанова, по мере роста инфраструктуры расследовать атаки становится все сложнее. Поэтому рынок постепенно смещается в сторону поведенческого анализа, машинного обучения и автоматической приоритизации событий — технологий, которые позволяют быстрее находить действительно опасные инциденты и освобождать аналитиков от рутинной работы.

RSS: Новости на портале Anti-Malware.ru