Microsoft предупредила об Android-шпионе, ворующем 2FA-коды

Microsoft предупредила об Android-шпионе, ворующем 2FA-коды

Microsoft предупредила об Android-шпионе, ворующем 2FA-коды

Microsoft рассказала об опасной шпионской программе, атакующей пользователей мобильных устройств на Android. По словам специалистов, авторы вредоноса замаскировали его под софт для вознаграждения по кредитным картам.

Судя по всему, Microsoft описывает новую версию зловреда, о котором эксперты Cyble предупреждали в конце 2021 года. Шпионский софт позволяет операторам удалённо управлять им.

Последний релиз вредоносной программы получил новые функциональные возможности бэкдора и гораздо более продуманную обфускацию. Попав на устройство жертвы, шпион может перехватывать коды двухфакторной аутентификации (2FA) для входа в аккаунты банковских приложений.

Кроме того, вредонос ворует учётные данные и ту персональную информацию, до которой может добраться. Microsoft детектирует шпиона как TrojanSpy:AndroidOS/Banker.O.

Стоит обратить внимание, что при запуске зловред запрашивает определённые разрешения в системе, без которых он не сможет в полной мере использовать свою функциональность. Более того, шпион просит пользователя ввести данные своей банковской карты, что должно сразу насторожить более-менее адекватного владельца Android-устройства.

«Вредоносные APK трояна содержат официальный логотип одного из банков, чтобы наверняка ввести пользователей в заблуждение. Это говорит о том, что авторы вредоноса постоянно совершенствуют своё детище», — пишет корпорация из Редмонда.

Шпионский софт использует функции Android — MainActivity, AutoStartService и RestartBroadCastReceiverAndroid, — чтобы иметь возможность перехватывать звонки, извлекать историю вызовов, сообщения, контакты, информацию о сети, а также менять настройки Android-девайса.

Библиотека с открытым исходным кодом socket.io используется авторами вредоноса для взаимодействия с командным сервером.

VK удалили из Google Play не везде: в США приложения остались

Удаление сервисов VK из Google Play оказалось не таким уж глобальным. Читатели «Кода Дурова» выяснили, что приложения холдинга по-прежнему можно скачать, если аккаунт Google зарегистрирован в регионе США.

Проверка показала любопытную географию: в российском и турецком регионах приложения недоступны, а в американском — спокойно находятся и устанавливаются.

Сервисы холдинга исчезли из магазина вчера, 16 июля. В VK заявили, что уже установленные приложения продолжат работать без ограничений, а скачать их можно через RuStore и другие альтернативные магазины.

Причины региональной разницы пока не раскрываются. Неясно, связано ли это с настройками самого Google Play, санкционными ограничениями, политикой распространения или обычной задержкой обновления каталога.

Напомним также, что пользователям «ВКонтакте» начали приходить уведомления с настойчивой просьбой пользоваться соцсетью по адресу vk.ru. В VK объясняют это просто: домен в зоне RU работает быстрее, надёжнее и теперь станет основным.

RSS: Новости на портале Anti-Malware.ru