Адваре для Android научились прятать вредоносное поведение от Google

Адваре для Android научились прятать вредоносное поведение от Google

Адваре для Android научились прятать вредоносное поведение от Google

Очередная порция агрессивных адваре, заполняющих дисплей смартфона пользователя рекламными объявлениями, научились скрывать своё вредоносное поведение от сотрудников Google. В общей сумме эти программы скачали восемь миллионов пользователей.

В официальный магазин приложений Google Play Store пробрались 42 адваре. При этом разработчик этих зловредов предусмотрел интересную защиту от анализа — отслеживается API Google.

Вредоносные программы обнаружил специалист антивирусной компании ESET Лукаш Штефанко. По слова эксперта, эта масштабная кампания адваре действовала по меньшей мере с июля 2018 года.

Используя общедоступную информацию, исследователи в области кибербезопасности вычислили автора зловредов: удалось найти его профили в соцсетях, данные об образовании и активность в качестве разработчика приложений для мобильных платформ.

Чтобы пройти все проверки со стороны Google, адваре тщательно скрывали свой вредоносный потенциал. Обойти защитные меры удалось благодаря проверке IP-адреса. Если он соответствовал адресу Google, зловреды не проявляли никакой подозрительной активности.

Помимо этого, в качестве подстраховки использовался механизм задержки — до первого отображения рекламного объявления адваре выжидали 24 минуты. Здесь стоит упомянуть, что стандартная процедура проверки Android-приложений занимает около 10 минут в активном состоянии программы.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян Realst крадет криптовалюту под видом софта для видеоконференций

В Cado Security выявили новую схему распространения инфостилера Realst. Потенциальной жертве поступает деловое предложение; обсудить его можно по видеосвязи, скачав по подсказке профильную программу, а на самом деле — трояна.

Сайт вымышленного поставщика инструментов для видеоконференций заполнен контентом, сгенерированным ИИ; для него также созданы аккаунты в соцсетях. Название фейковой компании с сентября менялось несколько раз; зафиксированы Clusee, Cuesee, Meeten, Meetone и Meetio (текущее).

Сценарии привлечения пользователей на вредоносный сайт различны. Мошенники могут, к примеру, создать в Telegram поддельный аккаунт кого-то из знакомых своей мишени и от его имени озвучить желание обсудить коммерческое предложение по видеосвязи.

Многим жертвам предлагали сотрудничество в качестве инженера Web3. Зафиксирован также случай, когда работнику неназванной компании от ее имени пригласили присоединиться к инвестиционному проекту и даже прислали презентацию.

На всех сайтах мифического разработчика решений для видео-конференц-связи обнаружен JavaScript, который пытается вытащить криптовалюту из расширений кошельков в браузерах. Сценарий отрабатывает еще до загрузки замаскированного Realst, который предлагается в двух версиях: для macOS и Windows.

 

Версия для macOS отдается в виде файла CallCSSetup.pkg (возможен также формат DMG). При его открытии выводятся два сообщения об ошибке: сервер недоступен и несовместимость с версией ОС. Для исправления ситуации предлагается ввести пароль пользователя системы.

 

Чтобы выманить таким образом ключ, позволяющий повысить привилегии, троян использует инструмент командной строки osascript. Аналогичным образом действуют и другие стилеры — Atomic, Cuckoo, MacStealer, Banshee.

Версия Realst для Windows (MeetenApp.exe) распространяется как файл NSIS с валидной цифровой подписью. Сертификат, по словам аналитиков, был украден у британской компании Brys Software.

В инсталлятор встроено приложение Electron, загружающее с внешнего сервера исполняемый файл инфостилера, написанного на Rust. Постоянное присутствие зловреда в системе обеспечивается внесением изменений в реестр.

Троян Realst умеет собирать и отсылать на свой сервер следующую информацию:

  • системные данные;
  • учетки Telegram;
  • данные банковских карт;
  • пароль к связке ключей (macOS-версия);
  • куки и учетки, сохраненные в Google Chrome, Opera, Brave, Microsoft Edge, Arc, CocCoc, Vivaldi;
  • данные криптокошельков Ledger, Trezor, Phantom, Binance.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru