APT-группа SideWinder разместила в Google Play фейковый VPN для Android

Екатерина Быстрова 02 Июня 2022 - 10:45

Домашние пользователи

Малый и средний бизнес

...

Новая фишинговая кампания APT-группировки SideWinder использует фейковое VPN-приложение для Android в качестве приманки. В связке с этим софтом злоумышленники также задействуют кастомный инструмент для фильтрации жертв и более качественного таргетирования.

Киберпреступная группа SideWinder активна как минимум с 2012 года. Считается, что родом APT из Индии, а уровень подготовки и квалификация хакеров внушает уважение даже опытным исследователям.

Специалисты «Лаборатории Касперского» за последние два года отметили около тысячи кибератак, связанных с SideWinder. Среди жертв группировки встречались организации из Пакистана, Китая, Непала и Афганистана.

Злоумышленники выстраивают свои кампании за счёт довольно крупной инфраструктуры, включающей более 92 IP-адресов. Всё это используется для фишинговых рассылок, хостинга сотен доменов и поддоменов, выступающих в качестве командных центров (C2).

На новые атаки SideWinder обратили внимание специалисты компании Group-IB, отметившие, что группировка создала множество веб-сайтов, замаскированных под официальные государственные домены Пакистана:

finance.pakgov[.]net
vpn.pakgov[.]net
csd.pakgov[.]net
hajj.pakgov[.]net
nadra.pakgov[.]net
pt.pakgov[.]net
flix.pakgov[.]net
covid.pakgov[.]net

В ходе исследования эксперты выяснили, что фишинговая ссылка перенаправляет жертв на сайт securevpn.com. А в официальном магазине Android-приложений Google Play Store специалисты нашли фейковый софт “Secure VPN“, который был скопирован с NordVPN.

Пробравшись в систему жертвы, троян отправляет на командный сервер информацию об устройстве, включая геолокацию и статус аккумулятора. Помимо этого, вредонос может извлекать конфиденциальные данные на устройстве.

Следующая главная новость »

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!

Екатерина Быстрова 27 Февраля 2026 - 13:12

Android Домашние пользователи

Кто снимает? Новое Android-приложение обнаруживает умные очки рядом

Смарт-очки с камерами всё чаще появляются в общественных местах, поэтому у многих возникает закономерный вопрос: а можно ли понять, что кто-то рядом ведёт съёмку? Разработчик Ив Жанрено предложил свой ответ — Android-приложение Nearby Glasses. Приложение сканирует Bluetooth Low Energy (BLE) и пытается определить поблизости устройства, связанные с известными производителями умных очков.

В основе не названия устройств (их легко менять), а так называемый manufacturer ID — идентификатор компании в BLE-пакетах. Он стандартизирован и закреплён за конкретным производителем, поэтому служит более стабильным признаком.

Сейчас Nearby Glasses отслеживает четыре ID:

0x01AB — Meta Platforms (корпорация Meta признана экстремистской и запрещена в России);
0x058E — Meta Platforms Technologies;
0x0D53 — Luxottica (производитель Meta Ray-Ban);
0x03C2 — Snapchat (Snap Spectacles).

При желании пользователь может вручную добавить другие значения.

Когда приложение обнаруживает устройство с заданным ID и уровнем сигнала выше установленного порога (по умолчанию −75 dBm, что соответствует примерно 10–15 метрам на открытом пространстве), оно отправляет уведомление. Чтобы не заваливать пользователя предупреждениями, встроен «период тишины» — по умолчанию 10 секунд.

Разработка вдохновлена реальными случаями. В СМИ уже описывались эпизоды, когда очки Meta Ray-Ban использовались для скрытой съёмки. А один студент Гарварда демонстрировал работу очков в связке с системой распознавания лиц и открытыми данными в режиме реального времени.

При этом автор честно предупреждает: ложные срабатывания возможны. Manufacturer ID используется для всей линейки продуктов компании, поэтому приложение может реагировать и на другие устройства того же бренда, например VR-гарнитуры Meta. В таких случаях помогает контекст: если вокруг нет VR-шлемов, но есть человек в очках, вероятность совпадения выше.

Приложение работает как фоновая слжба Android, не собирает пользовательские данные, не отправляет телеметрию и не показывает рекламу. Логи (если включены) сохраняются только локально и содержат лишь обнаруженные ID.

Разработчики планируют расширить список производителей, улучшить интерфейс на отдельных устройствах (например, Pixel), локализацию и, возможно, выпустить версию для iOS. В перспективе автор также рассматривает более глубокий анализ BLE-трафика для снижения числа ложных тревог, но это потребует дополнительной технической проработки.

Nearby Glasses доступно в Google Play и на GitHub, где опубликован исходный код на Kotlin.

Динамическая ИТ-инфраструктура 2026: как не потерять контроль? Регистрируйтесь на эфир!