TeaBot и Flubot используют популярные приложения для заражения Android-устройств
TeaBot и Flubot используют популярные приложения для заражения Android-устройств
Банковские трояны TeaBot и Flubot, ставшие известными в начале этого года благодаря широкому распространению среди пользователей стран Европы, теперь заражают Android-устройства, маскируясь под приложения с высоким рейтингом в Google Play. Об этом в своем блогесообщила ИБ-компания Bitdefender.
Троян TeaBot, также известный как Anatsa, впервые был обнаружен итальянской организацией Cleafy в январе текущего года. Согласно отчету исследователей, вредоносная программа может выполнять оверлей-атаки, накладывая свои окна поверх окон других программ. Возможности зловреда позволяют не только перехватывать вводимые пользователем данные (номера банковских карт, пароли, сообщения, коды), но и дистанционно управлять устройством Android.
Первоначально вредонос распространялся, маскируясь под мультимедиа-приложения, а также приложения для мониторинга и изменения почтовых отправлений, имевшие высокий рейтинг в Google Play Store. Теперь же разработчики трояна расширили список используемых наименований популярных приложений до, по крайней мере, следующих:
- VLC;
- Pluto TV;
- Kaspersky Antivirus;
- Госуслуги;
- Bookmate;
- Uplift.
При этом поддельные приложения распространяются через сторонние сайты и не представлены в Google Play.
В Bitdefender также обнаружили новый способ доставки трояна: вредоносные программы-дропперы, имитирующие легитимные приложения (например, блокировщик рекламы), которые в конечном итоге загружают и устанавливают TeaBot в соответствии с инструкциями C&C.
Троян Flubot, также известный как Cabassous, обнаруженный в начале декабря 2020 года компанией ThreatFabric, обладает меньшим функционалом по сравнению с TeaBot, однако тоже набирает популярность.
Этот бот для Android, так же как и TeaBot, оснащен возможностями кражи учетных данных при помощи оверлеев (фальшивых экранов входа) для приложений криптовалютных кошельков и банковских приложений. Дополнительно бот также собирает всю контактную информацию с устройства жертвы – номера телефонов – и отправляет ее на сервер, контролируемый злоумышленниками для дальнейшего распространения с помощью смишинга. Составив текст SMS-сообщения, сервер отправляет его на зараженный телефон, а затем отправляет сообщение непосредственно с устройства жертвы. Согласно исследованию, обычно в SMS-сообщении приводится ссылка на информацию о некой посылке. Ссылка ведет на страницу с локализованным текстом, соответствующим региону жертвы, с инструкциями по загрузке и установке якобы приложения службы доставки, которым по факту является сам троян.
«В настоящее время, чтобы привлечь внимание и ввести в заблуждение пользователя Android-устройства, злоумышленники стали часто использовать имитацию приложений из Google Play Store, отличающихся высоким рейтингом, – комментирует директор Центра управления сервисными проектами Angara Professional Assistance Евгений Ельцов. – Иногда, хотя и довольно редко, киберпреступникам удается разместить вредоносное ПО для скачивания непосредственно на площадке официального магазина, однако даже факт распространения приложений на сторонних ресурсах не мешает хакерам проводить эффективные вредоносные кампании. Во избежание заражения устройств, использующих корпоративные точки доступа в публичную сеть, организациям рекомендуется осуществлять фильтрацию интернет-трафика, например, на уровне прокси-сервера, предназначенного для выхода в Интернет из внутренней сети компании».
Angara Professional Assistance предлагает своим клиентам решение, позволяющее отсеить обращения к сомнительным веб-ресурсам и предотвратить загрузку во внутреннюю сеть компании подозрительных файлов и документов, в том числе файлов формата APK. Услуга позволяет также выявлять и блокировать такие современные киберугрозы, как вредоносный активный контент, ботнеты, межсайтовый скриптинг (XSS), подделку межсайтовых запросов (CSRF), фишинг и другие.
Ознакомиться с дополнительной информацией об услуге можно на нашем сайте в разделе «MSSP», блок «ФИЛЬТРАЦИЯ ДОСТУПА В ИНТЕРНЕТ», а также у менеджеров компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-07.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.