Банковский Android-троян Red Alert блокирует звонки и СМС из банков

Банковский Android-троян Red Alert блокирует звонки и СМС из банков

У недавно обнаруженного банковского Android-троянца обнаружилась командная панель, написанная полностью с нуля. Исследователи утверждают, что вредонос, получивший имя Red Alert 2.0, распространялся в течение последних нескольких месяцев новым хакером или группой хакеров.

Red Alert 2.0 представляет собой новый вредоносный код, однако его возможности аналогичны тем, которые встречаются в других троянских программах для Android, например, использование наложений окон для кражи учетных данных или возможность перехвата SMS-сообщений и кражи контактов пользователей.

Согласно SfyLabs, разработчики Red Alert все же добавили новые функции, чтобы сделать троян более эффективным. В итоге вредонос может блокировать и регистрировать входящие звонки из банков, тем самым гарантируя, что банки не смогут связаться с владельцами зараженного телефона Android, чтобы предупредить их о возможной вредоносной активности.

Вредоносная программа также использует Twitter в том случае, если командный центр (C&C) ушел в оффлайн. Эксперты отметили, что при невозможности трояна подключиться к командному центру, он получает адрес нового из учетной записи Twitter.

Этот подход не является новым для троянов, написанных под Windows. Однако, по утверждениям SfyLabs, Red Alert 2.0 является первым Android-трояном, имеющим в арсенале такие функции. Учитывая, что все больше пользователей выполняют банковские операции непосредственно со своих мобильных устройств, неудивительно, что злоумышленники переключают фокус на Android, самую популярную мобильную ОС.

Код вредоносной программы использует текущую дату в сочетании с данными, хранящимися в файле strings.xml, для создания MD5-хеша. Первые 16 символов хеша используются для связи с зарегистрированной учетной записью Twitter, вредонос запрашивает страницу Twitter и анализирует ответ, чтобы получить новый адрес командного сервера.

Red Alert 2.0 хранит список банков, клиентов которых он атакует, на сервере, что затрудняет определение точного количества и наименований этих банков. Троян имитирует легитимную страницу одного из банков, вынуждая пользователя ввести свои учетные данные.

Для того чтобы узнать, под окно какого банка нужно замаскироваться, Red Alert 2.0 периодически запрашивает последнее запущенное приложение. Исследователи также обнаружили, что злоумышленники могут управлять троянцем с помощью команд, отправляемых непосредственно с сервера C&C.

Эти команды включают: перехват SMS, отправку SMS, получение списка SMS, звонков, контактов, запуск приложения, отправку USSD, а также блокирование и отправку уведомления.

Для того, чтобы попасть в систему, Red Alert 2.0 маскируется под обновления Flash Player, популярные приложения, такие как WhatsApp и Viber, обновление Google Market и даже системы Android.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

28% сотрудников компаний сливают рабочие логины и пароли фишерам

Тренировочные фишинговые рассылки, проведенные МТС RED в рамках сервиса Security Awareness, показали, что около трети сотрудников компаний переходят по ссылкам в таких письмах, а 28% оставляют на фейковых сайтах ключи от рабочих аккаунтов.

Пробные сообщения были разосланы 1018 сотрудникам крупных компаний. Результаты показали, что 319 получателей не умеют распознавать письма фишеров, а 285 — поддельные страницы.

«Порядка 30% переходов по фишинговым ссылкам в электронных письмах, замаскированных под рядовую корпоративную переписку, — стандартный показатель для компаний, реализующих базовые меры профилактики фишинга, — комментирует Илья Одинцов, руководитель направления Security Awareness. — Однако нас удивило, что 28% получателей писем вводят свои рабочие учетные данные на фишинговой странице. Мы ожидали, что этот показатель будет в два раза ниже».

Примечательно, что после первого обучения с использованием результатов тренировки доля переходов сокращается два раза и более. Однако хорошие показатели держатся недолго и откатываются до прежнего уровня. Следовательно, такие тренинги эффективны, когда они проводятся регулярно.

Статистика получена путем анализа результатов тренировочных рассылок, проведенных в 2024 году с февраля по март. В качестве темы в письмах фигурировали внутренние новости компаний, а также подарки к 23 Февраля и 8 Марта.

Перед праздниками объемы фишинга обычно возрастают. По данным МТС RED SOC, в этом году всплеск такой активности наблюдался только накануне 8 Марта. Скачок был заметным: за несколько дней число посланий фишеров возросло на 27%.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru