Вредонос WinDealer проводит man-on-the-side, внедряясь в трафик жертвы

Екатерина Быстрова 03 Июня 2022 - 15:08

Малый и средний бизнес

Корпорации

Лаборатория Касперского

Шпионские программы

Программы слежения

Целевые атаки

Таргетированные атаки

...

Вредонос WinDealer проводит man-on-the-side, внедряясь в трафик жертвы

Специалисты «Лаборатории Касперского» проанализировали кибератаки китайской группировки LuoYu, в ходе которых злоумышленники распространяют вредоносную программу WinDealer. Вредонос при этом внедряется в легитимный трафик жертвы (man-on-the-side).

В Kaspersky отметили, что основной целью киберопераций LuoYu являются телекоммуникационные и оборонные предприятия на территории Китая, иностранные дипломатические организации и лица, имеющие отношение к академическому сообществу.

При этом география соответствующих атак распространяется не только на КНР, но и на Россию, США, Германию, Чехию и Австрию.

Вектор man-on-the-side подразумевает, что атакующий отслеживает запросы на подключение к определённому веб-ресурсу. Добиться этого можно несколькими способами: перехватить данные, занять нужное положение в сети провайдера. В этом случае киберпреступник может раньше легитимного сервера ответить жертве и подсунуть ей вредоносный файл вместо безобидного.

Повторяя этот алгоритм раз за разом, злоумышленники устанавливают на большинство устройств в сети шпионскую программу. Последняя позволяет просматривать любые файлы пользователя, скачивать все важные данные и выполнять поиск по ключевым словам.

Аналитики Kaspersky указали и на другую интересную особенность кампаний операторов WinDealer: вредонос задействует алгоритм генерации IP-адресов, после чего выбирает из них тот, с которым будет работать в качестве сервера.

Контролировать такое число серверов невозможно, поэтому в «Лаборатории Касперского» считают, что преступники могут перехватывать трафик к сгенерированным IP (это означает стратегическое положение в сети провайдера).

Второй вариант — атакующие контролируют только несколько адресов и ждут, пока WinDealer обратить к ним. Защититься от первого метода можно с помощью маршрутизации трафика через другую сеть, отмечают в Kaspersky. Например, при помощи VPN.

Следующая главная новость »

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 17 Декабря 2025 - 08:46

Android Трояны Домашние пользователи

Новый Android-вредонос внедряется в установленные на смартфоне приложения

На киберпреступных форумах злоумышленники продвигают новый Android-зловред формата «вредонос как услуга» (malware-as-a-service, MaaS). Троян получил имя Cellik, а его главная «фишка» — возможность встраивать вредоносную начинку в любые приложения из Google Play, сохраняя их внешний вид и рабочую функциональность.

Схема выглядит просто и опасно одновременно. Злоумышленник выбирает популярное приложение из официального магазина, собирает его троянизированную версию — и на выходе получает APK, который ведёт себя как обычное приложение.

Интерфейс на месте, функции работают, а пользователь долгое время может не подозревать, что вместе с приложением установил зловред. Продавец Cellik даже утверждает, что такой подход помогает обходить Google Play Protect, хотя подтверждений этому пока нет.

На Cellik обратили внимание специалисты из iVerify. По их данным, зловред продаётся по подписке за 150 долларов в месяц или за 900 долларов за пожизненную лицензию.

По возможностям Cellik — это полноценный шпионский инструмент. Он умеет в режиме реального времени транслировать экран устройства, перехватывать уведомления, просматривать файловую систему, выгружать файлы, стирать данные и общаться с управляющим сервером по зашифрованному каналу.

Есть и скрытый браузерный режим, который позволяет злоумышленнику открывать сайты с заражённого устройства, используя сохранённые у жертвы cookies.

Отдельного внимания заслуживает система инъекций. Cellik позволяет накладывать фальшивые окна входа поверх любых приложений или внедрять код прямо в них, чтобы красть учётные данные.

Более того, зловред может «подсаживать» вредоносную функциональность в уже установленные приложения — и тогда даже давно знакомая программа внезапно начинает вести себя подозрительно.

Самый тревожный момент — интеграция Google Play в APK-билдер Cellik. Прямо из интерфейса инструмента злоумышленник может просматривать магазин приложений, выбирать нужные и сразу собирать их заражённые версии. В iVerify отмечают, что ставка делается именно на доверие к популярным приложениям: трояны, спрятанные внутри них, потенциально могут дольше оставаться незамеченными автоматическими проверками.

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »