22/11/19
На конференции CyberwarCon в Арлингтоне, штат Вирджиния (США), исследователи безопасности из компании Google рассказали о вредоносных кампаниях киберпреступной группировки Sandworm (также известной как BlackEnergy, TeleBots, Electrum, TEMP.Noble и Quedagh). С 2017 года преступники не только атаковали государственных чиновников Европарламента, но также долгое время пытались заразить Android-телефоны мошенническими приложениями. Злоумышленники также пытались скомпрометировать разработчиков Android с целью внедрить вредоносное ПО в легитимные приложения, сообщает издание Wired.
В декабре 2017 года преступники из Sandworm создали вредоносные версии корейскоязычных приложений для Android (расписание транспорта, медиа и финансовое ПО), добавляя собственную вредоносную оболочку в легитимные программы и загружали их в Google Play Store. Google быстро удалила вредоносные приложения из магазина, но вскоре обнаружила вредоносный код в версии украинского почтового приложения Ukr.net.
По словам исследователей, вредоносные приложения Sandworm заразили менее 1 тыс. телефонов. Они не уверены, для чего предназначалось вредоносное ПО, поскольку обнаруженный вредоносный код был всего лишь загрузчиком, способным служить «плацдармом» для других компонентов вредоносного ПО с неизвестной функциональностью. Конечная цель могла варьироваться от шпионажа до атак с целью уничтожения данных.
В октябре и ноябре 2018 года Sandworm предприняла еще одну попытку взлома Android-устройств. Преступники отправляли украинским разработчикам фишинговые электронные письма с вложениями, содержащими вредоносное ПО для эксплуатации уязвимостей в Microsoft Office. В ходе одной из атак Sandworm успешно скомпрометировала разработчика украинского исторического приложения и использовала доступ для распространения вредоносного обновления. По словам представителей Google, ни один из телефонов не был заражен, так как вредонос был обнаружен еще до проникновения в Google Play.
