Массовая атака на пользователей Android в Facebook

Массовая атака на пользователей Android в Facebook

Компания Panda Security объявила о новой массовой атаке на пользователей Android. Эта тщательно продуманная уловка берет свое начало на Facebook, где киберпреступники рекламировали набор приложений. Panda Security связалась с Facebook и предупредила о данной вредоносной рекламной кампании, развернутой на страницах популярной социальной сети.

Троянские приложения

Когда пользователи открывают Facebook на своих мобильных устройствах Android, они видят различные сообщения под заголовком «Предлагаемое сообщение», рекламирующее советы WhatsApp, например: «Хотите узнать, как посмотреть чаты Ваших контактов в WhatsApp? Узнайте здесь!» или «Хотите скрыть Ваш статус подключения в WhatsApp? Скачайте данное приложение, и люди не смогут увидеть Вас». Если предполагаемая жертва нажимает на любое из этих рекламных объявлений, то она перенаправляется на ложную версию Google Play – магазин приложений Android. Пользователь, думая, что он находится на правильном сайте, скачивает бесплатное приложение, которое на самом деле оказывается трояном, подписывающим пользователей на дорогостоящий SMS-сервис без их ведома.

«В рамках этой атаки киберпреступники используют опции таргетированной рекламы на Facebook. В этом случае рекламное объявление показывается только пользователям определенной страны, подключающимся к социальной сети с мобильного устройства Android. Мы провели тесты, пытаясь подключиться к этому же аккаунту с ПК, iPad, iPhone и Android, в результате чего было установлено, что эти рекламные объявления показывались только при использовании операционной системы Google», – отмечает Луис Корронс, Технический директор PandaLabs в Panda Security.

Троян проверяет все входящие сообщения, полученные устройством, и если отправитель является дорогостоящим SMS-сервисом, то это сообщение перехватывается и удаляется, поэтому пользователь даже не знает, на что он подписан. Данный механизм, правда, не работает на последней версии Android 4.4 (KitKat), поэтому создатели вируса придумали гениальный трюк. При поступлении сообщения телефон переводится в беззвучный режим на две секунды, а входящее сообщение помечается как прочитанное. Приложение содержит счетчик SMS, поэтому, когда приходит первое сообщение с дорогостоящего сервиса, программа прочитывает его для получения подтверждающего PIN-кода и регистрирует пользователя на соответствующем веб-сайте для активации дорогостоящего SMS-сервиса.

Троян удаляет конкурента

Кроме того, троян удаляет любые сообщения, отправляемые с номера 22365. Это номер еще одного сервиса дорогостоящих SMS, и вирус просто устраняет конкурента: ведь если другой троян попытается зарегистрироваться на SMS-сервисе, то просто не сможет получить доступ к сообщению с подтверждением и PIN-коду и активировать сервис. 
Киберпреступники не только использовали в качестве приманки WhatsApp, но также любой заголовок, который мог бы привлечь внимание пользователей: «удивительное видео», трюки с Candy Crush, трюки с Angry Birds и т.д.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru