17/08/23
Пользователи многочисленных финансовых приложений в Таиланде, Индонезии, Вьетнаме, на Филиппинах и в Перу становятся мишенью банковского Android-трояна «Gigabud RAT».
По словам исследователей Group-IB, одна из уникальных особенностей вредоноса заключается в том, что он не выполняет никаких зловредных действий, пока пользователь не авторизуется в мошенническом приложении. Данный факт сильно затрудняет обнаружение Gigabud RAT.
Кроме того, вместо использования атак с наложением HTML-кода троянец собирает конфиденциальную информацию главным образом с помощью записи экрана, что, впрочем, эффективно далеко не против любых банковских приложений.
Gigabud RAT был впервые задокументирован компанией Cyble в январе 2023 года, о чём мы также сообщали своим постоянным читателям. Тогда вредонос выдавал себя за банковские и правительственные приложения, тайно похищая конфиденциальные данные жертв. Известно, что троян Gigabud RAT активен как минимум с июля прошлого года.
В Group-IB также выявили новый вариант вредоносной программы — уже без возможностей RAT, но от этого не менее эффективный. Получивший название «Gigabud.Loan», зловред прикидывается приложением для получения микрозаймов, однако на самом деле просто сливает злоумышленникам введённые данные. А так как речь идёт о микрозаймах, то и информацию о себе жертвы оставляют довольно подробную, даже не чувствуя в этом подвоха.
Обе версии вредоносных программ распространяются через фишинговые веб-сайты, ссылки на которые доставляются жертвам по SMS или через социальные сети. Gigabud.Loan также распространяется напрямую в виде APK-файлов, отправленных через WhatsApp якобы представителями вышеописанных организаций, предоставляющих микрозаймы.
Эксперты рекомендуют проявлять повышенную осторожность при установке приложений из непроверенных источников, а также критически относиться к любым подозрительным ссылкам или файлам, полученным по электронной почте или в мессенджерах.
