Новый вредонос для Android маскируется под легитимные приложения

Олег Иванов 15 Марта 2018 - 11:32

Домашние пользователи

...

Новое семейство вредоносных программ для Android маскируется под целый ряд легитимных приложений, а также похищает широкий спектр конфиденциальной информации. Об обнаружении этой киберугрозы сообщили специалисты компании Palo Alto Networks.

Получившая имя HenBox вредоносная программа отличается тем, что устанавливает легитимные версии приложений в попытке скрыть свое присутствие на скомпрометированных устройствах. HenBox распространяется через сторонние магазины приложений, атакуя преимущественно устройства Xiaomi.

Попав на устройство, зловред может похищать информацию из популярных приложений для обмена сообщениями и мобильных клиентов социальных сетей. Он собирает как личные данные, так и информацию об устройстве, может отслеживать местоположение пользователя, получать доступ к микрофону и камере и фиксировать исходящие телефонные номера с префиксом «86» (код страны для Китайской Народной Республики).

Palo Alto Networks сообщает об обнаружении около 200 образцов HenBox, самые старые из которых датируются 2015 годом. Всплеск активности этого вредоноса пришелся на вторую половину 2017 года, однако в этом году экспертам также удалось заполучить несколько образцов HenBox.

Проанализировав эту киберугрозу, специалисты Palo Alto Networks пришли к выводу, что она связана с целой вредоносной инфраструктурой, занимающейся таргетированными атаками. Частью этой инфраструктуры, по словам экспертов, также являются такие вредоносные программы, как PlugX, Zupdax, 9002, и Poison Ivy.

Одним из приложений, под которые старается маскироваться HenBox, является DroidVPN — сервис VPN, обещающий повышенную безопасность и конфиденциальность, а также возможность обойти региональные ограничения в интернете.

Эта версия зловреда распространяется через uyghurapps[.]net, как полагают исследователи, злоумышленники использовали уязвимый веб-сервер Apache, работающий на 32-разрядной Windows, для замены легитимного приложения вредоносной копией.

Внешне вредоносное приложение HenBox полностью копировало DroidVPN, а также содержало оригинальную версию приложения в своем пакете APK. Наличие легитимной составляющей, выполняющей свои функции, позволяло киберпреступникам скрыть вредоносные действия своей программы.

DroidVPN — это только один из примеров. Также HenBox маскировался под пакет уйгурского языка для клавиатуры, под приложение настроек Android и под приложение «Islamawazi».

После запуска на зараженном устройстве служба HenBox загружает библиотеку ELF, которая собирает информацию об устройстве: запущенные процессы и приложения, информация об аппаратной составляющей.

Также на устройство загружается инструмент, позволяющий получить права суперпользователя. После этого зловред извлекает информацию из популярных приложений для обмена сообщениями, таких как Voxer Walkie Talkie Messenger и WeChat от Tencent.

Следующая главная новость »

Машинное обучение и ИИ в ИБ: где работает, а где — миф? Обсудим на эфире — регистрируйтесь!

Екатерина Быстрова 25 Февраля 2026 - 13:49

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи Avast Software

Фейковый сайт Avast пугает списанием €499 и данные карт

Киберпреступники запустили фишинговую кампанию с поддельным сайтом Avast, сделав его настолько правдоподобным, что отличить от оригинала непросто. Страницу стилизовали под официальный портал антивирусной компании, вплоть до логотипа, загруженного с настоящего CDN Avast. Навигация, разделы «Home», «My Account», «Help» — всё выглядит как на легитимном ресурсе.

В центре страницы пользователя встречает тревожное уведомление: якобы с пользователя списали €499,99 за продукт Avast. Сообщается, что отменить него можно только в течение 72 часов.

При этом ниже указано, что платежи старше 48 часов не подлежат возврату — намеренное противоречие, создающее давление и панику. Дата «списания» автоматически подстраивается под системное время посетителя, создавая иллюзию, что платёж произошёл именно сегодня.

Сумма при этом всегда остаётся одинаковой: достаточно крупной, чтобы вызвать тревогу, но реалистичной для «премиальной подписки».

На самом деле никакого списания не происходит. Это чисто психологический приём: убедить жертву, что деньги уже ушли, и подтолкнуть к вводу банковских данных «для возврата».

Под фальшивой квитанцией размещена форма «возврата». Пользователю предлагают указать имя, адрес электронной почты, телефон, адрес и город для подтверждения личности. После заполнения появляется всплывающее окно с просьбой ввести номер карты, срок действия и CVV-код для «обработки возврата».

Чтобы всё выглядело максимально правдоподобно, сайт даже проверяет номер карты по алгоритму Луна — стандартной банковской процедуре валидации. Введённые данные отправляются через POST-запрос на скрипт send.php и передаются злоумышленникам.

После отправки формы жертве показывают сообщение «Your application is being processed» и благодарят за обращение. В финале появляется кнопка «Uninstalling Avast» — ещё одна уловка, которая может подтолкнуть пользователя удалить настоящий антивирус.

Дополнительный элемент обмана — встроенный чат Tawk.to. Операторы могут в реальном времени наблюдать за действиями посетителей и общаться с ними, убеждая завершить «процедуру возврата».

Схема рассчитана на самых разных людей: реальных клиентов Avast, пользователей со старыми подписками, тех, кто никогда не пользовался продуктом, но испугался «списания», и даже тех, кто надеется получить «возврат» без оснований. В любом случае все попадают на одну и ту же форму сбора данных.

Эксперты напоминают: если вы видите сообщение о неожиданном списании, не переходите по ссылкам из писем и не вводите данные на подозрительных страницах. Проверять информацию о подписке стоит только через официальный сайт, введённый вручную в адресной строке.

Машинное обучение и ИИ в ИБ: где работает, а где — миф? Обсудим на эфире — регистрируйтесь!