Для распространения вредоносной программы, которая еще не получила название, используются приемы социальной инженерии. Пользователи получают сообщение от известного контакта, содержащую ссылку на вредоносный сайт. На самом сайте размещена кнопка для скачивания якобы отправленной пользователю MMS фотографии и, конечно же, содержаться инструкции для установки приложений из неизвестных источников в Android.
Если жертва нажимает кнопку “Посмотреть”, то на смартфон загружается вредоносное приложение формата APK. При попытке установки приложение запрашивает большое количество привилегий, что должно насторожить бдительного пользователя. Если нерасторопный пользователь все же устанавливает зловред, то приложение запрашивает права администратора, а затем подменяет стандартное приложения для обмена SMS.
В результате все контакты жертвы получают сообщения с вредоносной ссылкой. Кроме того, приложение умеет взаимодействовать с сервисом SMS-банкинга: узнавать баланс и производить транзакции на подконтрольные киберпреступникам счета. Любопытно, что перехват сообщений при этом не выполняется, и жертва даже не подозревает о потере средств.
Эксперты Group-IB выяснили, что антивирусные приложения, установленные на смартфонах жертв, не обнаруживали угрозу ни на одном из этапов работы. Специалисты организации рекомендуют банкам принять профилактические меры с целью защиты своих клиентов от мошенничества. Для этого они предлагают использовать комплексный подход: применение технологий машинного обучения и взаимодействие с соответствующими организациями для активной блокировки сайтов, распространяющих угрозу.
Угрозы безопасности
• UEFI-уязвимости в материнских платах Gigabyte позволяют обходить Secure Boot
• Исследователи раскрыли сеть вредоносных расширений для Firefox
• 2,3 миллиона установок: 18 расширений для Chrome и Edge содержали вредоносный код
• Почтовый клиент Evolution для Linux сливает данные — даже при включенных настройках защиты
• Фальшивый переустановщик Windows требует оплату для разблокировки
• Поддельные криптокошельки массово проникают в магазин Firefox Add-ons и крадут средства пользователей