Windows-троян заражает Android и iOS-устройства через USB

Олег Иванов 14 Сентября 2016 - 10:46

Домашние пользователи

...

Относительно новый троян под Windows способен загружать вредоносные приложения на устройства под управлением Android и IOS, подключенные к зараженной машине через USB.

Зловред, получивший название «DualToy» действовал примерно с января 2015. Несмотря на то, что троян атаковал в основном пользователей в Китае, также были сообщения о пострадавших в Соединенных Штатах, Великобритании, Таиланде, Испании и Ирландии.

Исследователи обнаружили более 8000 уникальных образцов DualToy. Более ранние варианты были способны заражать только Android-устройства, но разработчики добавили возможность заражения iOS через шесть месяцев после того, как угроза впервые была замечена.

На зараженных компьютерах под управлением Windows DualToy изменяет настройки браузера и показывает рекламу. Когда устройство на Android или iOS подключается к зараженному компьютеру через USB, вредоносная программа начинает процесс его заражения.

Разработчики трояна рассчитывают на то, что, когда пользователь подключает мобильное устройство к зараженному компьютеру, оно уже авторизовано, что упрощает процесс взаимодействия с ним в фоновом режиме.

«Несмотря на то, что попав на мобильное устройство, троян может быть ограничен его защитными функциями (например, песочницей iOS), что делает его не такой критичной угрозой, DualToy в очередной раз напоминает нам о том, как легко заражать подключаемые через USB устройства» - пояснил исследователь Palo Alto Networks Claud Xiao в своем блоге.

Для того чтобы инфицировать Android и iOS-устройства троянец проверяет наличие Android Debug Bridge (ADB) и ITunes на скомпрометированной машине. Если вредонос не находит их, он их скачивает и устанавливает.

АБР и ITunes используются DualToy для установки различных приложений на устройства Android и iOS, подключенных через USB к зараженному компьютеру. В случае с Android, были загружены несколько игр на китайском языке со стороннего App Store.

В случае с iOS, троян собирает системную информацию и отправляет ее в командный центр. Эти данные включают в себя имя устройства, тип, версия, номер модели, серийный номер, IMEI, IMSI, прошивка и номер телефона.

DualToy также загружает несколько .ipa-файлов (архивы приложений в iOS) для того, чтобы запросить Apple ID и пароль пользователя. Эти данные также шифруются и отправляются на удаленный сервер.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 10:33

Фишинг Социальная инженерия Мошенничество Онлайн-мошенничество Домашние пользователи

Новая атака в Telegram использует официальную аутентификацию мессенджера

Эксперты зафиксировали новую и довольно изощрённую фишинговую кампанию в Telegram, которая уже активно используется против пользователей по всему миру. Главная особенность атаки в том, что злоумышленники не взламывают мессенджер и не подделывают его интерфейс, а аккуратно используют официальные механизмы аутентификации Telegram.

Как выяснили аналитики компании CYFIRMA, атакующие регистрируют собственные API-ключи Telegram (api_id и api_hash) и с их помощью инициируют реальные попытки входа через инфраструктуру самого мессенджера. Дальше всё зависит от того, как именно жертву заманят на фишинговую страницу.

Всего специалисты наткнулись на два подобных сценария. В первом случае пользователю показывают QR-код в стиле Telegram, якобы для входа в аккаунт. После сканирования кода в мобильном приложении запускается легитимная сессия, но уже на стороне злоумышленника.

Во втором варианте жертву просят вручную ввести номер телефона, одноразовый код или пароль двухфакторной защиты. Все эти данные тут же передаются в официальные API Telegram.

Ключевой момент атаки наступает позже. Telegram, как и положено, отправляет пользователю системное уведомление в приложении с просьбой подтвердить вход с нового устройства. И вот тут в дело вступает социальная инженерия. Фишинговый сайт заранее подсказывает, что это якобы «проверка безопасности» или «обязательная верификация», и убеждает нажать кнопку подтверждения.

В итоге пользователь сам нажимает «Это я» и официально разрешает доступ к своему аккаунту. Никакого взлома, обхода шифрования или эксплуатации уязвимостей не требуется: сессия выглядит полностью легитимной, потому что её одобрил владелец аккаунта.

По данным CYFIRMA, кампания хорошо организована и построена по модульному принципу. Бэкенд централизованный, а домены можно быстро менять, не затрагивая логику атаки. Такой подход усложняет обнаружение и блокировку инфраструктуры.

После захвата аккаунта злоумышленники, как правило, используют его для рассылки фишинговых ссылок контактам жертвы, что позволяет атаке быстро распространяться дальше — уже от лица доверенного пользователя.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »