Новый Android-зловред превращает смартфоны в прокси-серверы

Олег Иванов 25 Октября 2018 - 13:30

Домашние пользователи

...

Исследователи антивирусной компании McAfee раскрыли фишинговую кампанию, в ходе которой злоумышленники атаковали устройства под управлением Android, затем превращая их в прокси. В ходе компании распространялся вредонос, который детектируется антивирусным продуктом компании как Android/TimpDoor. Этот злонамеренный файл .APK маскируется под приложение для голосовых сообщений.

Стоящие за TimpDoor злоумышленники не были заинтересованы в хранении приложения в репозитории. Вместо этого вредоносное приложение распространялось посредством текстовых сообщений, содержащих ссылку на эту программу.

Команда исследователей мобильных угроз McAfee утверждает, что сразу после установки зловред запускает фоновую службу, которая поднимает SOCKS-прокси. Таким образом, трафик переправляется без всякого ведома пользователя.

Вредоносная кампания активна как минимум с конца марта, именно тогда пользователи из США начали жаловаться на получение странных текстовых сообщений. В сообщениях утверждалось, что у получившего пользователя есть два голосовых сообщения. Их можно прослушать, пройдя по ссылке.

Если пользователь нажимает на ссылку, он попадает на мошенническую страницу, на которой предлагается установить специальное приложение.

Интересно, что страница содержит инструкции, как отключить в Android защиту от установки приложений из непроверенных источников. Без этого инсталлировать вредонос просто не получится.

После установки приложение еще пытается сохранить легитимный вид, так как содержит несколько фейковых аудиофайлов. После закрытия приложения его служба все еще будет работать в фоновом режиме, собирая информацию об устройстве пользователя.

Трафик посылается с помощью зашифрованного соединения через SSH-тунель.

Пораженные TimpDoor устройства могут использоваться в качестве ботов, рассылая фишинговые письма, реализуя кликфрод или запуская DDoS-атаки.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Мая 2026 - 13:41

Домашние пользователи Корпорации Защита персональных данных

Банки в Беларуси начнут пускать в приложения только с геолокацией

Пользователям банковских приложений в Беларуси придётся делиться геолокацией, иначе доступ к сервисам могут просто закрыть. С 26 мая такое правило начнёт действовать в приложениях Альфа-Банка, а с 1 июля отслеживать местонахождение пользователей будут обязаны уже все банки страны.

Новое требование касается и мобильного, и десктопного приложения. В Альфа-Банке объясняют, что пользователю нужно один раз разрешить доступ к геолокации, после чего она будет определяться автоматически.

Если разрешение не дать, с 1 июля приложение перестанет работать до тех пор, пока геолокацию не включат вручную в настройках устройства.

В банке говорят, что мера нужна для борьбы с финансовым мошенничеством. Логика такая: если человек обычно заходит в приложение из Минска, а потом внезапно вход происходит из-за рубежа или с подозрительного устройства, система должна это заметить и поднять тревогу.

О похожих мерах Национальный банк Беларуси говорил ещё в конце марта. Зампред правления регулятора Андрей Картун тогда объяснял, что банки будут анализировать, откуда пользователь входит в мобильный банкинг и какими операциями пользуется.

С 1 июля банки также начнут использовать цифровой отпечаток устройства. Он поможет выявлять подозрительные действия: например, вход с нового гаджета, из необычной локации или параллельные попытки авторизации из разных мест.

Выглядит всё это как очередной шаг в сторону более жёсткого антифрода. С одной стороны, банки действительно пытаются ловить мошенников до того, как деньги улетят не туда. С другой — пользователям теперь придётся принять простое правило: хочешь зайти в банк, сначала покажи, где ты находишься.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!