Для распространения вредоносной программы, которая еще не получила название, используются приемы социальной инженерии. Пользователи получают сообщение от известного контакта, содержащую ссылку на вредоносный сайт. На самом сайте размещена кнопка для скачивания якобы отправленной пользователю MMS фотографии и, конечно же, содержаться инструкции для установки приложений из неизвестных источников в Android.
Если жертва нажимает кнопку “Посмотреть”, то на смартфон загружается вредоносное приложение формата APK. При попытке установки приложение запрашивает большое количество привилегий, что должно насторожить бдительного пользователя. Если нерасторопный пользователь все же устанавливает зловред, то приложение запрашивает права администратора, а затем подменяет стандартное приложения для обмена SMS.
В результате все контакты жертвы получают сообщения с вредоносной ссылкой. Кроме того, приложение умеет взаимодействовать с сервисом SMS-банкинга: узнавать баланс и производить транзакции на подконтрольные киберпреступникам счета. Любопытно, что перехват сообщений при этом не выполняется, и жертва даже не подозревает о потере средств.
Эксперты Group-IB выяснили, что антивирусные приложения, установленные на смартфонах жертв, не обнаруживали угрозу ни на одном из этапов работы. Специалисты организации рекомендуют банкам принять профилактические меры с целью защиты своих клиентов от мошенничества. Для этого они предлагают использовать комплексный подход: применение технологий машинного обучения и взаимодействие с соответствующими организациями для активной блокировки сайтов, распространяющих угрозу.
Угрозы безопасности
• Microsoft: Хакерская группировка Storm-0501 переключилась на вымогательские атаки в облачных средах
• ESET: Новый шифровальщик PromptLock использует ИИ для кражи и блокировки данных
• Исследователи нашли способ прятать вредоносные команды в уменьшенных изображениях для ИИ
• В Google Play удалены вредоносные Android-приложения с 19 млн загрузок
• Shamos: новый инфостилер маскируется под «исправления» для macOS
• Apple закрыла уязвимость нулевого дня, которая используется в целевых атаках на iPhone, iPad и Mac