Мобильные троянцы теперь распространяются через мобильные ботнеты

Александр Панасенко 04 Сентября 2013 - 14:58

...

Эксперты «Лаборатории Касперского» впервые зафиксировали новый способ распространения мобильных троянцев – через мобильные ботнеты, созданные на основе другой вредоносной программы. По крайней мере, именно этот метод, среди прочих традиционных, избрали злоумышленники, стоящие за самым сложным мобильным троянцем Obad с широкими вредоносными функциями и хорошо зашифрованным кодом.

Использование сторонних мобильных ботнетов для распространения зловреда резко увеличивает возможную «область поражения», чего трудно добиться привычными способами типа традиционных спам-рассылок или перенаправления на взломанные сайты. Чаще всего жертвами этого опасного троянца становятся пользователи устройств на платформе Android в России (более 83% случаев), Узбекистане, Казахстане, Белоруссии и на Украине.

Сам троянец Obad был обнаружен специалистами «Лаборатории Касперского» в мае этого года. После внимательного изучения эксперты не только полностью расшифровали код вредоносной программы, но и проанализировали избранные злоумышленниками способы ее распространения в мобильной среде Android. В частности, они выяснили, что создатели Obad стали первыми, кто использовал для распространения своего троянца возможности ботнетов, созданных на основе других мобильных зловредов.

Obad распространяется с мобильных ботнетов на базе другого «популярного» в России и других странах СНГ троянца Opfake. После активации на зараженном мобильном устройстве Opfake может по команде, поступающей от сервера, начать рассылку SMS с вредоносной ссылкой по всем контактам жертвы. Если пользователь перейдет по предлагаемой ссылке, то на его устройство автоматически загрузится вредоносная программа. Как правило, таким образом Opfake распространяет ссылки на самого себя. Однако экспертами «Лаборатории Касперского» были зафиксированы и массовые рассылки сообщений со ссылками на Obad. Мощности ботнета на базе Opfake позволяют быстро и резко увеличивать объемы подобных SMS-рассылок и, как следствие, число инфицированных троянцем Obadмобильных устройств.

«Мы впервые сталкиваемся с тем, что для распространения мобильных троянцев используются сторонние мобильные ботнеты. Это факт говорит о том, что киберпреступники продолжают адаптировать отработанные приемы заражения ПК для других набирающих популярность платформ, – рассказывает Роман Унучек, ведущий антивирусный эксперт «Лаборатории Касперского». – Всего за три месяца исследований мы обнаружили 12 версий троянца Obad. Все они обладают схожим функционалом, характеризуются высокой степенью зашифрованности кода и используют уязвимость в ОС Android, которая позволяет зловреду скрывать свое присутствие, что крайне усложняет его удаление. Однако новый продукт Kaspersky Internet Security для Android «хитрее» этого троянца и легко удаляет Obad из любой версии Android».

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 10 Февраля 2026 - 09:43

Утечки информации Умышленные утечки информации Кража данных Домашние пользователи

Утечка данных клиентов приложений для слежки затронула 500 тыс. записей

Хактивисту удалось получить доступ к базе данных одного из поставщиков так называемых stalkerware — приложений для скрытой слежки за владельцами смартфонов. В результате в Сеть утекли более 500 тысяч платёжных записей, связанных с клиентами, которые платили за слежку за другими людьми.

Речь идёт о данных пользователей сервисов Geofinder, uMobix, Peekviewer (бывший Glassagram) и ряда других приложений для мониторинга и трекинга.

Все они предоставляются одним и тем же вендором — компанией Struktura, зарегистрированной на территории Украины. В утёкшей базе также оказались платёжные записи сервиса Xnspy, уже известного по крупным утечкам в прошлые годы.

Как выяснили в TechCrunch, в базе содержится около 536 тысяч строк с данными клиентов. Среди них — адреса электронной почты, название сервиса, за который платил пользователь, сумма платежа, тип банковской карты (Visa или Mastercard) и последние четыре цифры карты. Дат платежей в наборе данных не было.

Хотя полных платёжных реквизитов в утечке нет, даже такой объём информации может быть опасен, особенно с учётом того, чем именно занимались клиенты этих сервисов.

Журналисты TechCrunch проверили утечку несколькими способами. В частности, они использовали одноразовые почтовые ящики с публичным доступом, которые встречались в базе, и через функции восстановления пароля подтвердили, что такие аккаунты действительно существуют.

Дополнительно проверялись уникальные номера счетов, которые совпали с данными, доступными на страницах оплаты сервисов — причём без необходимости проходить аутентификацию. Это указывает на серьёзные проблемы с безопасностью у поставщика.

Хактивист под ником wikkid рассказал, что получил доступ к данным из-за «банальной ошибки» на сайте вендора. По его словам, он целенаправленно атакует приложения, которые используются для слежки за людьми, и позже опубликовал выгруженные данные на одном из хакерских форумов.

Приложения вроде uMobix и Xnspy после установки на телефон жертвы передают третьим лицам практически всё содержимое устройства: сообщения, звонки, фотографии, историю браузера и точные данные о местоположении.

При этом такие сервисы открыто рекламировались как инструменты для слежки за супругами и партнёрами, что во многих странах прямо нарушает закон.

Это далеко не первый случай, когда разработчики stalkerware теряют контроль над данными, как клиентов, так и самих жертв слежки. За последние годы десятки подобных сервисов становились жертвами взломов или утечек из-за элементарных ошибок в защите.

Ирония ситуации в том, что компании, зарабатывающие на вторжении в чужую приватность, раз за разом не способны защитить даже собственных клиентов.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »