Android-шпион SpyLend проник на 100 тыс. смартфонов из Google Play Store

Android-шпион SpyLend проник на 100 тыс. смартфонов из Google Play Store

Android-шпион SpyLend проник на 100 тыс. смартфонов из Google Play Store

Шпионское приложение для Android, получившее имя SpyLend, проникло на смартфоны более 100 тысяч пользователей из официального магазина Google Play. Злоумышленники замаскировали его под софт для финансов.

SpyLend входит в семейство зловредов для мобильных устройств — SpyLoan, отличительной чертой которых является маскировка под финансовые приложения или сервисы для займа.

Как правило, такой софт пытается зацепить пользователей лёгкими и быстрыми займами с минимальными требованиями к документам и привлекательными условиями.

Однако после установки вредоносы запрашивают разрешения, позволяющие им перехватывать конфиденциальную информацию, включая журналы вызовов, СМС-сообщения, фотографии и геолокацию.

После этого все собранные данные используются для травли жертвы, вымогательства и прочих нехороших дел.

Специалисты компании CYFIRMA наткнулись на приложение «Finance Simplified», авторы которого обещали пользователям упростить управление финансами. Этот софт скачали из Google Play Store более 100 тыс. раз. Есть и другие APK, связанные с этой кампанией: KreditApple, PokketMe и StashFur.

В настоящий момент приложение удалено из Google Play, однако на заражённых смартфонах оно продолжит работать в фоновом режиме, собирая пользовательскую информацию.

 

«Finance Simplified рекомендует владельцам смартфонов приложения для займа, загружает с помощью WebView соответствующие ресурсы и перенаправляет пользователей на сторонние сайты, откуда скачивается APK-файл», — пишут исследователи в отчёте.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Охотники за криптой используют функцию удаленного управления в Zoom

Кибергруппа Elusive Comet, специализирующаяся на краже криптовалюты, использует элементы социальной инженерии, чтобы склонить намеченную жертву к видеовстрече в Zoom, а затем просит собеседника предоставить удаленное управление экраном.

С подобной атакой недавно столкнулся гендиректор ИБ-компании Trail of Bits. Два персонажа в X прислали ему в личку приглашение принять участие в новом проекте Bloomberg — дать интервью для серии публикаций, посвященных криптовалюте.

Общаться по имейл они отказались и предложили встретиться в Zoom, выбрав удобную дату с помощью Calendly. Как оказалось, в X под мошенническую кампанию уже создан ряд поддельных аккаунтов журналистов и редакции мифического Bloomberg Crypto.

 

В ходе вызова в Zoom злоумышленник посылает запрос на удаленное управление экраном собеседника, используя соответствующую функцию платформы. Если тот выдаст разрешение, Elusive Comet получит доступ к компьютеру жертвы.

Для пущей достоверности авторы атаки меняют отображаемое имя абонента на «Zoom». Захват контроля над вводом позволяет в числе прочего украсть конфиденциальные данные и инициировать криптотранзакции, а также внедрить в систему бэкдор и быстро завершить сеанс связи, пока жертва не заметила компрометации.

 

Во избежание неприятностей Trail of Bits советует заблокировать доступ к спецвозможностям систем и удалить клиент Zoom со всех устройств, задействованных в обработке / хранении критически важных данных.

Схожую тактику, по словам экспертов, применила Lazarus в атаке на криптобиржу Bybit, повлекшей кражу $1,5 млрд: участники печально известной группировки тоже манипулировали рабочими процессами, сделав ставку на социальную инженерию, а не на эксплойты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru