Bitdefender попереджає, що зловмисники поширюють шкідливе програмне забезпечення під виглядом популярних Android-додатків
Bitdefender попереджає, що зловмисники поширюють шкідливе ПО під виглядом популярних Android-додатків
Bitdefender попереджає, що зловмисники поширюють шкідливе ПО під виглядом популярних Android-додатків від відомих компаній. Підроблений плеєр VLC, антивірус Касперського, а також підроблені додатки FedEx і DHL встановлюють на пристрої жертв банківські трояни Teabot або Flubot, вперше виявлені на початку цього року.
Teabot здатний перехоплювати коди перевірки для авторизації в облікових записах Google, записувати натискання клавіш, набрані на клавіатурах, виводити підроблені екрани поверх реальних, а в деяких випадках брати під повний контроль пристрій. Троян Flubot дещо простіше, але його функціоналу цілком достатньо для крадіжки банківських даних жертв, текстових повідомлень та інших персональних даних. Шкідливе ПЗ також має властивості хробака – воно здатне автоматично поширюватися через SMS-розсилку.
Виявлені дослідниками підроблені додатки не представлені в магазині Google Play і поширюються тільки через сторонні магазини.
«Поширення шкідливих програм для Android-пристроїв - справа непроста, так як офіційний магазин зазвичай перешкоджає потраплянню таких додатків на пристрої користувачів. Однак один з найбільших плюсів Android, можливість завантажувати програми з неофіційних джерел, також є його недоліком. За допомогою різних хитрощів злочинці можуть змусити користувачів встановлювати додатки з неофіційного магазину », - пояснили дослідники.
На момент написання статті ця зловмисна кампанія все ще триває.
Поширювати шкідливе програмне забезпечення на пристроях Android непросто, оскільки офіційний магазин зазвичай (не завжди) може запобігти потраплянню цих типів додатків до користувачів. Але одна з найбільших сильних сторін Android, можливість завантажувати програми з неофіційних джерел, також є слабкою стороною.
Використовуючи комбінацію хитрощів, щоб переконати користувачів встановлювати програми за межами офіційного магазину, злочинці поширюють більшу частину свого шкідливого програмного забезпечення через бічне завантаження. Якщо на мобільних пристроях не встановлено рішення безпеки, шкідливі програми бродять безкоштовно.
TeaBot і Flubot - найновіші троянські сім'ї банкірів, оскільки кілька дослідників безпеки ідентифікували їх у перші місяці 2021 року. Дослідники Bitdefender виявили партію нових шкідливих додатків для Android, які видають себе за справжні від популярних брендів, але з поворотом шкідливого програмного забезпечення.
TeaBot (також відомий як «Anatsa») та його робочі механізми відомі. Згідно зі звітом про ранній аналіз , шкідливе програмне забезпечення може здійснювати атаки накладення через служби доступності Android, перехоплювати повідомлення, виконувати різні дії з реєстрації ключів, викрадати коди аутентифікації Google і навіть здійснювати повне віддалене управління пристроями Android.
Злочинці вітають можливість поширювати шкідливе програмне забезпечення безпосередньо з магазинів додатків, але це непросто. Замість цього вони вибирають наступний доступний метод – імітуючи програми з найвищим рейтингом, сподіваючись обдурити принаймні деяких користувачів, щоб завантажити та встановити свої шкідливі версії.
Дослідники Bitdefender виявили п'ять нових шкідливих android-додатків, які упаковують банківський троян Teabot і видають себе за справжніх. Дві з програм згадуються як банківське шкідливе програмне забезпечення в Twitter, і ми встановили зв'язок із шкідливим програмним забезпеченням Anatsa.
Ми зібрали список усіх банків, на які націлений Teabot, але є застереження: його оператори можуть адаптувати його в будь-який момент часу, додати більше банків або видалити підтримку для деяких. Список діє прямо зараз, але, ймовірно, він зміниться в майбутньому.
| Назва програми | Назва пакета програм |
| Гаманець Банкія | com.bankia.wallet |
| BankinterMóvil | com.bankinter.launcher |
| BBVA Іспанія | Інтернет-банкінг | com.bbva.bbvacontigo |
| Чиста готівка BBVA | ЕС & ПТ | com.bbva.netcash |
| Кутксабанк | com.kutxabank.android |
| Сантандер | es.bancosantander.apps |
| Банкія | es.cm.android |
| CaixaBankNow | es.lacaixa.mobile.android.newwapicon |
| Банка Цифровий Лібербанк | es.liberbank.cajasturapp |
| Openbank – bancamóvil | es.openbank.mobile |
| UnicajaMovil | es.univia.unicajamovil |
| BBVA México (BancomerMóvil) | com.bancomer.mbanking |
| Додаток Banco Sabadell. Ваш мобільний банк | net.inverline.bancosabadell.officelocator.android |
| Commerzbank Banking - Додаток на вашому боці | de.commerzbanking.mobil |
| comdirect мобільний додаток | de.comdirect.android |
| SparkasseIhre mobile Filiale | com.starfinanz.smob.android.sfinanzstatus |
| Дойче Банк Мобільний | com.db.pwcc.dbmobile |
| Додаток Banco Sabadell. Ваш мобільний банк | net.inverline.bancosabadell.officelocator.android |
| VR Банківська Класика | de.fiducia.smartphone.android.banking.vr |
| Каясур | com.cajasur.android |
| GrupoCajamar | com.grupocajamar.wefferent |
| BW-Mobilbankingmit Смартфон і планшет | com.starfinanz.smob.android.bwmobilbanking |
| Іберкая | es.ibercaja.ibercajaapp |
| ING España. Banca Móvil | www.ingdirect.nativeframe |
За допомогою телеметрії Bitdefender нам вдалося визначити два нових вектора інфекції, а саме додатки з назвами пакетів 'com.intensive.sound' і 'com.anaconda.brave', які завантажує Teabot. Це програми-крапельниці шкідливих програм, відомі тим, що імітують законні програми (наприклад, Блокувальник реклами в нашому випадку).
Flubot використовує цю команду для поширення через свій SMS-спам і червоподібну поведінку. У нашому аналізі ми спостерігали понад 100 різних доменів, які використовуються в кампанії для розміщення підроблених файлів APK. Ці домени належать до зламаних/викрадених сайтів, де суб'єкти загрози ввели своє шкідливе програмне забезпечення для подальшого поширення. У багатьох випадках це законні веб-сайти та домени, які злочинці успішно атакували через існуючі вразливості, дозволяючи їм вводити посилання для завантаження шкідливого програмного забезпечення.
Деякі приклади відправлених SMS:
| Цільові жертви | Зразки СМС, відправлених постраждалим |
| Іспаномовні | Гола, Tiene (1) Paquete de Media Markt! Посилання: UPS-20147 Ultima oportunidad para recogerlo>> http://wxz14[.] com/p/?o5l08o8nmt |
| Іспаномовні | No hemospodidoentregarsupaquete. Siga el enlace para programarunanuevafecha de entrega: http://dukessailsoptin[.] com/info/?l7m4lnkvgp |
| Іспаномовні | FedEx: Tuenvioestaporllegar, rastrealoaqui: https://nsoft[.] fr/fedex/?apc9senmy3 |
| Польськомовні | Dostawanowejprzesylki: http://thejoblessemperor[.] in/pkg/?6bh4l5qy |
Переглянувши сотні СМС, ми помітили, що зловмисники використовують шаблони, які змінюють лише ім'я одержувача та посилання для завантаження . Зловмисне програмне забезпечення викрадає реальні контактні імена та номери телефонів з телефону жертви та надсилає їх на сервери, розміщені суб'єктами загрози. Сервер складає SMS-повідомлення, використовуючи цю реальну інформацію, і відправляє її назад шкідливому ПЗ на заражених телефонах. Потім Flubot відправляє SMS-повідомлення прямо з пристрою жертви.
Спостережуваний приклад такого шаблону:
| Hola<CONTACT_NAME>, confirmesuscredenciales para la entrega de hoy, de lo contrario, supaquete sera devuelto al remitente: <MALWARE_DOWNLOAD_LINK> |
Приклад SMS-повідомлень Flubot:
| HolaRuben, confirmesuscredenciales para la entrega de hoy, de lo contrario, supaquete sera devuelto al remitente: https://defencelover[.] in/out/?iaw1g6md2w |
| HolaMarci, confirmesuscredenciales para la entrega de hoy, de lo contrario, supaquete sera devuelto al remitente: http://www.zyzlk[.] com/pack/?qq3s32hc4q |
| HolaRamiro, confirmesuscredenciales para la entrega de hoy, de lo contrario, supaquete sera devuelto al remitente: http://patchbuy[.] com/url/?rfzw0d1p8o |
Як і у випадку з Teabot, оператори FluBot переслідують банки та їхні програми, але список цільових додатків може змінитися в будь-який час, як і наказують зловмисники.
