60 тыс. адваре для Android прикидываются кряками и антивирусами

60 тыс. адваре для Android прикидываются кряками и антивирусами

60 тыс. адваре для Android прикидываются кряками и антивирусами

Специалисты румынской антивирусной компании Bitdefender выявили десятки тысяч адваре для Android, маскирующиеся под кряки или модифицированные версии популярного софта. Рекламные приложения перенаправляли пользователей на сторонние ресурсы и демонстрировали им агрессивную рекламу.

По данным Bitdefender, эта кампания идёт с октября 2022 года. В отчёте исследователи пишут следующее:

«Злоумышленники пытаются показывать навязчивую рекламу с целью заработать. Однако стоит учитывать, что операторы адваре могут достаточно быстро поменять тактику и, например, переключиться на установку вредоносных программ или кражу конфиденциальных данных».

В общей сложности эксперты нашли 60 тысяч уникальных нежелательных приложений. Большая часть детектов распределилась между следующими странами: США, Южная Корея, Бразилия, Германия, Великобритания, Франция, Казахстан, Румыния и Италия.

Кстати, ни одно из обнаруженных адваре не размещалось в официальном магазине Google Play Store. Владельцы мобильных устройств на Android устанавливали рекламный софт со сторонних ресурсов, пытаясь найти приложение Netflix, программы для просмотра PDF, антивирусы и взломанные версии YouTube.

После установки адваре скрывали свои иконки, чтобы их было сложнее удалить. Более того, при первом запуске программы пользователю отображалось сообщение «приложение недоступно в вашем регионе», а в фоновом режиме в это время начиналась вредоносная активность.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян удаленного доступа пугает жертв дикими криками и страшными картинками

Эксперты ESET обнаружили необычный плагин, созданный для NonEuclid RAT. Модуль использует Windows API для подачи громких звуковых сигналов и параллельно отображает картинку, которая может привидеться только в страшном сне.

Объявившийся в этом году троян NonEuclid — один из многочисленных форков опенсорсного AsyncRAT. Он тоже обладает модульной архитектурой, позволяющей расширить функциональность зловреда.

При создании NonEuclid вирусописатели дали волю своей фантазии: в отличие от более «классических» собратьев DcRAT и VenomRAT, их детище умеет шифровать данные, брутфорсить пароли к FTP и SSH, подменять адреса криптокошельков в буфере обмена, внедрять в PE-файлы пейлоад по выбору оператора, в том числе на USB-устройствах.

Найденный исследователями новый плагин именуется «Screamer» («кричалка», «пугалка»). В него вшиты пять изображений, и по команде оператора зловред выбирает одно из них для вывода.

Он также получает WAV-файл и значение задержки, а при проигрывании выводит звук и высокие частоты на максимум, манипулируя Windows API.

 

Исследователи полагают, что столь необычный компонент предназначен для диверсий (в случае использования зараженной системы для критически важных операций) и шантажа.

Написанный на C# инструмент удаленного администрирования AsyncRAT был опубликован на GitHub как проект с открытым исходным кодом в 2019 году. С тех пор злоумышленники неустанно плодят вредоносные клоны с дополнительными возможностями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru